คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
กำหนดค่านโยบายรักษาความปลอดภัยเนื้อหา (CSP) สำหรับหน้าทั้งหมดในพอร์ทัลของคุณเพื่อป้องกันการโจมตีแบบ Cross-site Scripting (XSS) และการโจมตีแบบการแทรกโค้ดอื่นๆ CSP กำหนดแหล่งที่มาที่เชื่อถือได้สำหรับเนื้อหา เช่น สคริปต์ สไตล์ และรูปภาพ หลังจากกำหนดค่านโยบายแล้ว เบราว์เซอร์จะบล็อกเนื้อหาที่โหลดจากแหล่งที่มาที่ไม่น่าเชื่อถือ
ระบบจะเพิ่ม CSP เป็นส่วนหัวการตอบกลับ Content-Security-Policy ของ HTTP ให้กับทุกหน้าในพอร์ทัลดังนี้
Content-Security-Policy: policy
คุณกำหนดนโยบายได้โดยใช้คำสั่งต่างๆ ตามที่ให้คำจำกัดความไว้ในคำสั่งของนโยบายรักษาความปลอดภัยเนื้อหาในเว็บไซต์ W3C
หากคุณเปิดใช้ส่วนหัว CSP ระบบจะกำหนดคำสั่ง CSP ต่อไปนี้โดยค่าเริ่มต้น
default-src 'unsafe-eval' 'unsafe-inline' * data:
คำสั่ง default-src จะกำหนดค่านโยบายเริ่มต้นสำหรับประเภททรัพยากรที่ไม่มีคำสั่งที่กำหนดค่าแล้ว
ตารางต่อไปนี้อธิบายนโยบายที่กำหนดไว้เป็นส่วนหนึ่งของคำสั่งเริ่มต้น
| นโยบาย | การเข้าถึง |
|---|---|
'unsafe-inline' |
ทรัพยากรในบรรทัด เช่น องค์ประกอบ <script> ในบรรทัด, URL javascript:, เครื่องจัดการเหตุการณ์ในบรรทัด และองค์ประกอบ <style> ในบรรทัด หมายเหตุ: คุณต้องใส่นโยบายไว้ในเครื่องหมายคำพูดเดี่ยว |
'unsafe-eval' |
การประเมินโค้ดแบบไดนามิกที่ไม่ปลอดภัย เช่น JavaScript eval() และวิธีที่คล้ายกันที่ใช้สร้างโค้ดจากสตริง หมายเหตุ: คุณต้องใส่นโยบายไว้ในเครื่องหมายคำพูดเดี่ยว |
* (wildcard) |
URL ทั้งหมดยกเว้นรูปแบบ data:, blob: และ filesystem: |
data: |
ทรัพยากรที่โหลดผ่านรูปแบบข้อมูล (เช่น รูปภาพที่เข้ารหัส Base64) |
ตัวอย่างต่อไปนี้เป็นตัวอย่างการกำหนดค่า CSP เพื่อจำกัดประเภททรัพยากรที่เฉพาะเจาะจง
| นโยบาย | การเข้าถึง |
|---|---|
default-src 'none' |
ไม่มีสิทธิ์เข้าถึงสำหรับประเภททรัพยากรที่ไม่มีคำสั่งที่กำหนดค่าแล้ว |
img-src * |
URL ของรูปภาพจากแหล่งที่มาใดก็ได้ |
media-src https://example.com/ |
URL ของวิดีโอหรือเสียงผ่าน HTTPS จากโดเมน example.com |
script-src *.example.com |
การเรียกใช้สคริปต์จากโดเมนย่อยของ example.com |
style-src 'self' css.example.com |
การใช้รูปแบบใดๆ จากต้นทางของเว็บไซต์หรือโดเมน css.example.com |
วิธีกำหนดค่านโยบายรักษาความปลอดภัยเนื้อหา
- เลือกเผยแพร่ > พอร์ทัล แล้วเลือกพอร์ทัลของคุณ
- เลือกการตั้งค่าในเมนูแบบเลื่อนลงในแถบนำทางด้านบน
- หรือคลิกการตั้งค่าในหน้า Landing Page ของพอร์ทัล
- คลิกที่แท็บการรักษาความปลอดภัย
- คลิกเปิดใช้นโยบายความปลอดภัยของเนื้อหา
- โปรดกําหนดค่า CSP หรือใช้ค่าเริ่มต้น
- คลิกบันทึก
คุณคืนค่านโยบาย CSP เริ่มต้นได้ทุกเมื่อโดยคลิกคืนค่าเริ่มต้น