इस पेज का अनुवाद Cloud Translation API से किया गया है.

कॉन्टेंट की सुरक्षा के बारे में नीति को कॉन्फ़िगर करें

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

क्रॉस-साइट स्क्रिप्टिंग (XSS) और दूसरे कोड-इंजेक्शन हमलों से सुरक्षित रखने के लिए, अपने पोर्टल के सभी पेजों के लिए, कॉन्टेंट की सुरक्षा नीति (सीएसपी) कॉन्फ़िगर करें. सीएसपी, स्क्रिप्ट, स्टाइल, और इमेज जैसे कॉन्टेंट के लिए भरोसेमंद सोर्स के बारे में बताता है. नीति को कॉन्फ़िगर करने के बाद, गैर-भरोसेमंद सोर्स से लोड किए गए कॉन्टेंट को आपका ब्राउज़र ब्लॉक कर देगा.

सीएसपी को आपके पोर्टल के सभी पेजों पर, Content-Security-Policy एचटीटीपी रिस्पॉन्स हेडर के तौर पर इस तरह जोड़ा जाता है:

Content-Security-Policy: policy

आपने W3C साइट में कॉन्टेंट की सुरक्षा के बारे में निर्देश में बताए गए निर्देशों का इस्तेमाल करके, नीति तय की है.

अगर आपने सीएसपी हेडर को चालू किया है, तो डिफ़ॉल्ट रूप से यह सीएसपी निर्देश तय होता है:

default-src 'unsafe-eval' 'unsafe-inline' * data:

default-src डायरेक्टिव, उन रिसॉर्स टाइप के लिए डिफ़ॉल्ट नीति को कॉन्फ़िगर करता है जिनमें कॉन्फ़िगर किया गया डायरेक्टिव नहीं है.

नीचे दी गई टेबल में, डिफ़ॉल्ट डायरेक्टिव के हिस्से के तौर पर बताई गई नीतियों के बारे में बताया गया है.

नीति	ऐक्सेस
`'unsafe-inline'`	इनलाइन `<script>` एलिमेंट, `javascript:` यूआरएल, इनलाइन इवेंट हैंडलर, और इनलाइन `<style>` एलिमेंट जैसे संसाधन. ध्यान दें: यह ज़रूरी है कि नीति एक कोट में हो.
`'unsafe-eval'`	असुरक्षित डाइनैमिक कोड आकलन, जैसे कि JavaScript `eval()` और स्ट्रिंग से कोड बनाने के लिए इस्तेमाल किए जाने वाले इसी तरह के दूसरे तरीके. ध्यान दें: यह ज़रूरी है कि नीति एक कोट में हो.
`* (wildcard)`	`data:`, `blob:`, और `filesystem:` स्कीम को छोड़कर, कोई भी यूआरएल.
`data:`	डेटा स्कीम की मदद से लोड किए गए संसाधन. उदाहरण के लिए, Base64 कोड में बदली गई इमेज.

यहां सीएसपी को कुछ खास तरह के संसाधनों पर पाबंदी लगाने के लिए कॉन्फ़िगर करने के उदाहरण दिए गए हैं.

नीति	ऐक्सेस
`default-src 'none'`	ऐसे संसाधन टाइप के लिए ऐक्सेस नहीं है जिनमें कॉन्फ़िगर किया गया डायरेक्टिव नहीं है.
`img-src *`	किसी भी सोर्स से ली गई इमेज का यूआरएल.
`media-src https://example.com/`	`example.com` डोमेन से एचटीटीपीएस पर मौजूद वीडियो या ऑडियो का यूआरएल.
`script-src *.example.com`	`example.com` के सबडोमेन से किसी भी स्क्रिप्ट को रन करना.
`style-src 'self' css.example.com`	साइट के ऑरिजिन या `css.example.com` डोमेन से किसी भी स्टाइल का इस्तेमाल.

कॉन्टेंट की सुरक्षा नीति को कॉन्फ़िगर करने के लिए:

पब्लिश करें > पोर्टल चुनें और अपना पोर्टल चुनें.
सबसे ऊपर मौजूद नेविगेशन बार में, ड्रॉप-डाउन मेन्यू में सेटिंग चुनें.
इसके अलावा, पोर्टल लैंडिंग पेज पर सेटिंग पर क्लिक करें.
सुरक्षा टैब पर क्लिक करें.
कॉन्टेंट की सुरक्षा नीति चालू करें पर क्लिक करें.
सीएसपी कॉन्फ़िगर करें या डिफ़ॉल्ट रहने दें.
सेव करें पर क्लिक करें.

डिफ़ॉल्ट सीएसपी नीति को वापस लाएं पर क्लिक करके, किसी भी समय डिफ़ॉल्ट सीएसपी नीति को पहले जैसा किया जा सकता है.