Định cấu hình chính sách bảo mật nội dung

Bạn đang xem tài liệu về Apigee Edge.
Hãy xem tài liệu về Apigee X.

Định cấu hình chính sách bảo mật nội dung (CSP) cho tất cả các trang trong cổng thông tin của bạn để bảo vệ khỏi tập lệnh trên nhiều trang web (XSS) và các cuộc tấn công chèn mã khác. CSP xác định các nguồn đáng tin cậy cho nội dung như tập lệnh, kiểu và hình ảnh. Sau khi định cấu hình chính sách, trình duyệt của bạn sẽ chặn nội dung được tải từ các nguồn không tin cậy.

CSP được thêm dưới dạng tiêu đề phản hồi HTTP Content-Security-Policy cho tất cả các trang trong cổng thông tin của bạn, cụ thể như sau:

Content-Security-Policy: policy

Bạn xác định chính sách bằng các lệnh, như định nghĩa trong Chỉ thị về chính sách bảo mật nội dung trên trang web W3C.

Nếu bạn bật tiêu đề CSP, theo mặc định, lệnh CSP được xác định:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Lệnh default-src định cấu hình chính sách mặc định cho các loại tài nguyên không có lệnh đã định cấu hình.

Bảng sau đây mô tả các chính sách được xác định trong lệnh mặc định.

Chính sách Quyền truy cập
'unsafe-inline' Tài nguyên cùng dòng, chẳng hạn như phần tử <script> cùng dòng, URL javascript:, trình xử lý sự kiện cùng dòng và phần tử <style> cùng dòng. Lưu ý: Bạn phải đưa chính sách này vào trong dấu nháy đơn.
'unsafe-eval' Đánh giá mã động không an toàn như JavaScript eval() và các phương pháp tương tự dùng để tạo mã từ chuỗi. Lưu ý: Bạn phải đưa chính sách này vào trong dấu nháy đơn.
* (wildcard) Bất kỳ URL nào ngoại trừ giao thức data:, blob:filesystem:.
data: Tài nguyên được tải thông qua lược đồ dữ liệu (ví dụ: hình ảnh được mã hóa Base64).

Phần sau đây cung cấp ví dụ về cách định cấu hình CSP để hạn chế các loại tài nguyên cụ thể.

Chính sách Quyền truy cập
default-src 'none' Không có quyền truy cập vào các loại tài nguyên chưa có lệnh đã được định cấu hình.
img-src * URL hình ảnh từ bất kỳ nguồn nào.
media-src https://example.com/ URL video hoặc âm thanh qua HTTPS từ miền example.com.
script-src *.example.com Thực thi bất kỳ tập lệnh nào từ miền con của example.com.
style-src 'self' css.example.com Áp dụng bất kỳ kiểu nào từ nguồn gốc của trang web hoặc miền css.example.com.

Để định cấu hình chính sách bảo mật nội dung:

  1. Chọn Xuất bản > Cổng và chọn cổng của bạn.
  2. Chọn Cài đặt trong trình đơn thả xuống ở thanh điều hướng trên cùng.
  3. Ngoài ra, bạn có thể nhấp vào Cài đặt trên trang đích của cổng.
  4. Nhấp vào thẻ Security (Bảo mật).
  5. Nhấp vào Bật chính sách bảo mật nội dung.
  6. Định cấu hình CSP hoặc để mặc định.
  7. Nhấp vào Lưu.

Bạn có thể khôi phục chính sách CSP mặc định bất cứ lúc nào bằng cách nhấp vào Khôi phục mặc định.