Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация
Настройте политику безопасности контента (CSP) для всех страниц вашего портала, чтобы защитить от межсайтового скриптинга (XSS) и других атак с внедрением кода. CSP определяет надежные источники контента, например скрипты, стили и изображения. После настройки политики контент, загруженный из ненадежных источников, будет заблокирован вашим браузером.
CSP добавляется в качестве заголовка HTTP-ответа Content-Security-Policy на все страницы вашего портала следующим образом:
Content-Security-Policy: policy
Вы определяете политику с помощью директив, как определено в Директивах политики безопасности контента на сайте W3C.
Если вы включите заголовок CSP, по умолчанию определяется следующая директива CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
Директива default-src настраивает политику по умолчанию для типов ресурсов, у которых нет настроенной директивы.
В следующей таблице описаны политики, определенные как часть директивы по умолчанию.
| Политика | Доступ |
|---|---|
'unsafe-inline' | Встроенные ресурсы, такие как встроенные элементы <script> , URL-адреса javascript: встроенные обработчики событий и встроенные элементы <style> . Примечание . Политику необходимо заключить в одинарные кавычки. |
'unsafe-eval' | Небезопасная динамическая оценка кода, такая как JavaScript eval() и аналогичные методы, используемые для создания кода из строк. Примечание . Политику необходимо заключить в одинарные кавычки. |
* (wildcard) | Любой URL-адрес, кроме схем data: , blob: и filesystem: :. |
data: | Ресурсы, загружаемые через схему данных (например, изображения в кодировке Base64). |
Ниже приведены примеры настройки CSP для ограничения определенных типов ресурсов.
| Политика | Доступ |
|---|---|
default-src 'none' | Нет доступа к типам ресурсов, для которых нет настроенной директивы. |
img-src * | URL изображения из любого источника. |
media-src https://example.com/ | URL-адрес видео или аудио через HTTPS из домена example.com . |
script-src *.example.com | Выполнение любого скрипта из поддомена example.com . |
style-src 'self' css.example.com | Применение любого стиля из источника сайта или домена css.example.com . |
Чтобы настроить политику безопасности контента:
- Выберите «Опубликовать» > «Порталы» и выберите свой портал.
- Выберите «Настройки» в раскрывающемся меню на верхней панели навигации.
- Либо нажмите «Настройки» на целевой странице портала.
- Откройте вкладку «Безопасность» .
- Нажмите Включить политику безопасности контента .
- Настройте CSP или оставьте значение по умолчанию.
- Нажмите Сохранить .
Вы можете в любой момент восстановить политику CSP по умолчанию, нажав «Восстановить по умолчанию» .