Configurer une règle de sécurité du contenu

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

Configurez une Content Security Policy (CSP, stratégie de sécurité du contenu) pour toutes les pages de votre portail afin de vous protéger contre les attaques par script intersites (XSS) et autres attaques par injection de code. La CSP définit des sources fiables pour des contenus tel que des scripts, des styles et des images. Une fois que vous avez configuré une stratégie, le contenu chargé à partir de sources non approuvées est bloqué par votre navigateur.

La CSP est ajoutée en tant qu'en-tête de réponse HTTP Content-Security-Policy à toutes les pages de votre portail, comme suit :

Content-Security-Policy: policy

Vous définissez la stratégie à l'aide de directives, comme indiqué dans la section sur les directives liées à la Content Security Policy sur le site du W3C.

Si vous activez l'en-tête CSP, la directive CSP suivante est définie par défaut :

default-src 'unsafe-eval' 'unsafe-inline' * data:

La directive default-src configure la stratégie par défaut pour les types de ressources qui n'ont pas de directive configurée.

Le tableau suivant décrit les stratégies définies avec la directive par défaut.

Stratégie Accès
'unsafe-inline' Ressources intégrées, telles que les éléments <script> intégrés, les URL javascript:, les gestionnaires d'événements intégrés et les éléments <style> intégrés. Remarque : Vous devez placer la stratégie entre guillemets simples.
'unsafe-eval' Évaluation du code dynamique non sécurisé (telle que JavaScript eval()), ainsi que les méthodes similaires utilisées pour créer du code à partir de chaînes. Remarque : Vous devez placer la stratégie entre guillemets simples.
* (wildcard) Toutes les URL, à l'exception des schémas data:, blob: et filesystem:.
data: Ressources chargées par le biais du schéma de données (par exemple, des images encodées en base64).

Vous trouverez ci-dessous des exemples de configuration de la CSP pour restreindre des types de ressources spécifiques.

Stratégie Accès
default-src 'none' Aucun accès aux types de ressources ne disposant pas d'une directive configurée.
img-src * URL d'image provenant de n'importe quelle source.
media-src https://example.com/ URL vidéo ou audio via HTTPS issue du domaine example.com.
script-src *.example.com Exécution de tout script provenant d'un sous-domaine de example.com.
style-src 'self' css.example.com Application de n'importe quel style provenant de l'origine du site ou du domaine css.example.com.

Pour configurer une stratégie de sécurité du contenu, procédez comme suit :

Interface utilisateur de la console Cloud

  1. Dans Apigee, depuis la console Cloud, accédez à la page Distribution > Portails.

    Accéder à "Portails"

  2. Cliquez sur votre portail.

  3. Cliquez sur Paramètres dans le menu de navigation.

  4. Cliquez sur l'onglet Sécurité.

  5. Cliquez sur Activer la stratégie CSP.

  6. Configurez la CSP ou conservez la valeur par défaut.

  7. Cliquez sur Enregistrer.

UI classique

  1. Sélectionnez Publier > Portails et sélectionnez votre portail.
  2. Sélectionnez Paramètres dans le menu déroulant de la barre de navigation supérieure.
  3. Vous pouvez également cliquer sur Paramètres sur la page de destination du portail.
  4. Cliquez sur l'onglet Sécurité.
  5. Cliquez sur Activer la stratégie CSP.
  6. Configurez la CSP ou conservez la valeur par défaut.
  7. Cliquez sur Enregistrer.

Vous pouvez restaurer la stratégie CSP par défaut à tout moment en cliquant sur Restaurer la valeur par défaut.