Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da Apigee Edge.
Configure uma política de segurança de conteúdo (CSP, na sigla em inglês) para todas as páginas do portal a fim de proteger contra script em vários sites (XSS) e outros com injeção de código. A CSP define fontes confiáveis para conteúdo como scripts, estilos e imagens. Depois que você configurar uma política, o conteúdo carregado de fontes não confiáveis será bloqueado pelo navegador.
A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy
a todas as páginas do portal, da seguinte maneira:
Content-Security-Policy: policy
Você define a política usando diretivas, conforme definido nas Diretivas de Política de Segurança de Conteúdo do site do W3C.
Se você ativar o cabeçalho CSP, a seguinte diretiva será definida por padrão:
default-src 'unsafe-eval' 'unsafe-inline' * data:
A diretiva default-src
configura a política padrão para tipos de recursos que não têm uma diretiva configurada.
A tabela a seguir descreve as políticas definidas como parte da diretiva padrão.
Política | Acesso |
---|---|
'unsafe-inline' |
Recursos inline, como elementos <script> in-line, URLs javascript: , manipuladores de eventos e elementos <style> in-line Observação: é preciso colocar a política entre aspas simples. |
'unsafe-eval' |
Avaliação não segura do código dinâmico, como o JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Observação: é preciso colocar a política entre aspas simples. |
* (wildcard) |
Qualquer URL, exceto os esquemas data: , blob: e filesystem: . |
data: |
Recursos carregados por meio do esquema de dados (por exemplo, imagens codificadas em Base64). |
Confira a seguir exemplos de como configurar a CSP para restringir tipos de recursos específicos.
Política | Acesso |
---|---|
default-src 'none' |
Não há acesso para tipos de recursos que não têm uma diretiva configurada. |
img-src * |
URL de imagem de qualquer origem. |
media-src https://example.com/ |
URL do áudio ou vídeo por HTTPS do domínio example.com . |
script-src *.example.com |
Execução de qualquer script de um subdomínio de example.com . |
style-src 'self' css.example.com |
Aplicação de qualquer estilo a partir da origem do site ou do domínio css.example.com . |
Para configurar uma política de segurança de conteúdo, faça o seguinte:
- Selecione Publicar > Portais e selecione seu portal.
- Selecione Configurações no menu suspenso na barra de navegação superior.
- Se preferir, clique em Configurações na página de destino do portal.
- Clique na guia Segurança.
- Clique em Ativar a Política de Segurança de Conteúdo.
- Configure a CSP ou mantenha o padrão.
- Clique em Salvar.
É possível restaurar a política de CSP padrão a qualquer momento clicando em Restaurar padrão.