Bu sayfa, Cloud Translation API ile çevrilmiştir.

İçerik güvenliği politikası yapılandırma

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Siteler arası komut dosyası çalıştırma (XSS) ve diğer kod yerleştirme saldırılarına karşı koruma sağlamak amacıyla portalınızdaki tüm sayfalar için bir içerik güvenliği politikası (İGP) yapılandırın. CSP; komut dosyaları, stiller ve resimler gibi içerikler için güvenilir kaynakları tanımlar. Bir politika yapılandırıldıktan sonra, güvenilir olmayan kaynaklardan yüklenen içerik tarayıcınız tarafından engellenir.

CSP, portalınızdaki tüm sayfalara aşağıdaki şekilde Content-Security-Policy HTTP yanıt başlığı olarak eklenir:

Content-Security-Policy: policy

Politikayı, W3C sitesindeki İçerik Güvenliği Politikası Yönergeleri'nde tanımlandığı şekilde yönergeler kullanarak tanımlarsınız.

CSP başlığını etkinleştirirseniz varsayılan olarak aşağıdaki CSP yönergesi tanımlanır:

default-src 'unsafe-eval' 'unsafe-inline' * data:

default-src yönergesi, yapılandırılmış bir yönergesi olmayan kaynak türleri için varsayılan politikayı yapılandırır.

Aşağıdaki tabloda, varsayılan yönergenin bir parçası olarak tanımlanan politikalar açıklanmaktadır.

Politika	Erişim
`'unsafe-inline'`	Satır içi `<script>` öğeleri, `javascript:` URL'ler, satır içi etkinlik işleyiciler ve satır içi `<style>` öğeleri gibi satır içi kaynaklar. Not: Politikayı tek tırnak içine almanız gerekir.
`'unsafe-eval'`	JavaScript `eval()` gibi güvenli olmayan dinamik kod değerlendirmesi ve dizelerden kod oluşturmak için kullanılan benzer yöntemler. Not: Politikayı tek tırnak içine almanız gerekir.
`* (wildcard)`	`data:`, `blob:` ve `filesystem:` şemaları hariç tüm URL'ler.
`data:`	Veri şeması aracılığıyla yüklenen kaynaklar (örneğin, Base64 olarak kodlanmış resimler).

Aşağıda, CSP'yi belirli kaynak türlerini kısıtlayacak şekilde yapılandırma örnekleri verilmiştir.

Politika	Erişim
`default-src 'none'`	Yapılandırılmış bir yönergesi olmayan kaynak türleri için erişim yoktur.
`img-src *`	Herhangi bir kaynaktan resim URL'si.
`media-src https://example.com/`	`example.com` alanından HTTPS üzerinden video veya ses URL'si.
`script-src *.example.com`	`example.com` alt alan adından herhangi bir komut dosyasının yürütülmesi.
`style-src 'self' css.example.com`	Sitenin kaynağından veya `css.example.com` alan adından herhangi bir stilin uygulaması.

İçerik güvenliği politikası yapılandırmak için:

Yayınla > Portallar'ı ve portalınızı seçin.
Üst gezinme çubuğundaki açılır menüden Ayarlar'ı seçin.
Alternatif olarak, portal açılış sayfasında Ayarlar'ı tıklayın.
Güvenlik sekmesini tıklayın.
İçerik güvenliği politikasını etkinleştir'i tıklayın.
CSP'yi yapılandırın veya varsayılan değeri bırakın.
Kaydet'i tıklayın.

Varsayılanları geri yükle'yi tıklayarak varsayılan İGP politikasını istediğiniz zaman geri yükleyebilirsiniz.