Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. informacje.
Skonfiguruj standard Content Security Policy (CSP) na wszystkich stronach w portalu, aby chronić przed atakami typu cross-site scripting (XSS) i innymi atakami polegającymi na wstrzyknięciu kodu. CSP określa zaufane źródła treści, takich jak skrypty, style i obrazy. Gdy skonfigurujesz zasady, przeglądarka będzie blokować treści z niezaufanych źródeł.
Protokół CSP jest dodawany jako nagłówek odpowiedzi HTTP Content-Security-Policy do wszystkich stron w portalu w ten sposób:
Content-Security-Policy: policy
Definiujesz zasadę za pomocą dyrektyw zgodnie z dyrektywami dotyczącymi standardu Content Security Policy w witrynie W3C.
Jeśli włączysz nagłówek CSP, domyślnie zdefiniowana jest ta dyrektywa CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
Dyrektywa default-src konfiguruje domyślną zasadę dla typów zasobów, które nie mają skonfigurowanej dyrektywy.
W tabeli poniżej opisujemy zasady zdefiniowane w dyrektywie domyślnej.
| Zasada | Dostęp |
|---|---|
'unsafe-inline' |
Zasoby wbudowane, takie jak elementy <script>, adresy URL javascript:, wbudowane moduły obsługi zdarzeń i elementy <style>. Uwaga: zasady musisz ująć w pojedyncze cudzysłowy. |
'unsafe-eval' |
Niebezpieczna dynamiczna ocena kodu, np. eval() w języku JavaScript i podobne metody używane do tworzenia kodu na podstawie ciągów tekstowych. Uwaga: zasady musisz ująć w pojedyncze cudzysłowy. |
* (wildcard) |
Dowolny adres URL oprócz schematów data:, blob: i filesystem:. |
data: |
Zasoby ładowane za pomocą schematu danych (np. obrazy zakodowane w standardzie Base64). |
Poniżej znajdziesz przykłady konfigurowania CSP w celu ograniczenia określonych typów zasobów.
| Zasada | Dostęp |
|---|---|
default-src 'none' |
Brak dostępu dla typów zasobów, które nie mają skonfigurowanej dyrektywy. |
img-src * |
URL obrazu z dowolnego źródła. |
media-src https://example.com/ |
Adres URL pliku wideo lub audio korzystającego z protokołu HTTPS z domeny example.com. |
script-src *.example.com |
Wykonywanie dowolnego skryptu z subdomeny example.com. |
style-src 'self' css.example.com |
Zastosowanie dowolnego stylu z początku witryny lub domeny css.example.com. |
Aby skonfigurować zasadę bezpieczeństwa treści:
- Kliknij Opublikuj > Portale i wybierz swój portal.
- W menu na górnym pasku nawigacyjnym wybierz Ustawienia.
- Możesz też kliknąć Ustawienia na stronie docelowej portalu.
- Kliknij kartę Zabezpieczenia.
- Kliknij Włącz zasadę bezpieczeństwa treści.
- Skonfiguruj CSP lub pozostaw wartość domyślną.
- Kliknij Zapisz.
W każdej chwili możesz przywrócić domyślne zasady CSP, klikając Przywróć domyślne.