Configurar uma política de segurança de conteúdo

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Configure uma política de segurança de conteúdo (CSP, na sigla em inglês) para todas as páginas do portal a fim de proteger contra script em vários sites (XSS) e outros com injeção de código. A CSP define fontes confiáveis para conteúdo como scripts, estilos e imagens. Depois que você configurar uma política, o conteúdo carregado de fontes não confiáveis será bloqueado pelo navegador.

A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy a todas as páginas do portal, da seguinte maneira:

Content-Security-Policy: policy

Você define a política usando diretivas, conforme definido nas Diretivas de Política de Segurança de Conteúdo do site do W3C.

Se você ativar o cabeçalho CSP, a seguinte diretiva será definida por padrão:

default-src 'unsafe-eval' 'unsafe-inline' * data:

A diretiva default-src configura a política padrão para tipos de recursos que não têm uma diretiva configurada.

A tabela a seguir descreve as políticas definidas como parte da diretiva padrão.

Política Acesso
'unsafe-inline' Recursos inline, como elementos <script> in-line, URLs javascript:, manipuladores de eventos e elementos <style> in-line Observação: é preciso colocar a política entre aspas simples.
'unsafe-eval' Avaliação não segura do código dinâmico, como o JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Observação: é preciso colocar a política entre aspas simples.
* (wildcard) Qualquer URL, exceto os esquemas data:, blob: e filesystem:.
data: Recursos carregados por meio do esquema de dados (por exemplo, imagens codificadas em Base64).

Confira a seguir exemplos de como configurar a CSP para restringir tipos de recursos específicos.

Política Acesso
default-src 'none' Não há acesso para tipos de recursos que não têm uma diretiva configurada.
img-src * URL de imagem de qualquer origem.
media-src https://example.com/ URL do áudio ou vídeo por HTTPS do domínio example.com.
script-src *.example.com Execução de qualquer script de um subdomínio de example.com.
style-src 'self' css.example.com Aplicação de qualquer estilo a partir da origem do site ou do domínio css.example.com.

Para configurar uma política de segurança de conteúdo, faça o seguinte:

  1. Selecione Publicar > Portais e selecione seu portal.
  2. Selecione Configurações no menu suspenso na barra de navegação superior.
  3. Se preferir, clique em Configurações na página de destino do portal.
  4. Clique na guia Segurança.
  5. Clique em Ativar a Política de Segurança de Conteúdo.
  6. Configure a CSP ou mantenha o padrão.
  7. Clique em Salvar.

É possível restaurar a política de CSP padrão a qualquer momento clicando em Restaurar padrão.