Mengonfigurasi kebijakan keamanan konten

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Konfigurasikan kebijakan keamanan konten (CSP) untuk semua halaman di portal Anda untuk melindungi dari pembuatan skrip lintas situs (XSS) dan serangan injeksi kode lainnya. CSP menentukan sumber tepercaya untuk konten seperti skrip, gaya, dan gambar. Setelah mengonfigurasi kebijakan, konten yang dimuat dari sumber yang tidak tepercaya akan diblokir oleh browser Anda.

CSP ditambahkan sebagai header respons HTTP Content-Security-Policy ke semua halaman di portal Anda, sebagai berikut:

Content-Security-Policy: policy

Kebijakan ini ditetapkan menggunakan perintah, seperti yang ditetapkan dalam Content Security Policy Directives di situs W3C.

Jika Anda mengaktifkan header CSP, secara default perintah CSP berikut akan ditentukan:

default-src 'unsafe-eval' 'unsafe-inline' * data:

Perintah default-src mengonfigurasi kebijakan default untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.

Tabel berikut menjelaskan kebijakan yang ditentukan sebagai bagian dari perintah default.

Kebijakan Akses
'unsafe-inline' Resource inline, seperti elemen <script> inline, URL javascript:, pengendali peristiwa inline, dan elemen <style> inline. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal.
'unsafe-eval' Evaluasi kode dinamis yang tidak aman seperti eval() JavaScript dan metode serupa yang digunakan untuk membuat kode dari string. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal.
* (wildcard) URL apa pun kecuali skema data:, blob:, dan filesystem:.
data: Resource yang dimuat melalui skema data (misalnya, gambar berenkode Base64).

Berikut ini contoh konfigurasi CSP untuk membatasi jenis resource tertentu.

Kebijakan Akses
default-src 'none' Tidak ada akses untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.
img-src * URL gambar dari sumber mana pun.
media-src https://example.com/ URL video atau audio melalui HTTPS dari domain example.com.
script-src *.example.com Eksekusi skrip apa pun dari subdomain example.com.
style-src 'self' css.example.com Penerapan gaya apa pun dari asal situs atau domain css.example.com.

Untuk mengonfigurasi kebijakan keamanan konten:

  1. Pilih Publikasikan > Portal dan pilih portal Anda.
  2. Pilih Setelan di menu drop-down di menu navigasi atas.
  3. Atau, klik Setelan di halaman landing portal.
  4. Klik tab Keamanan.
  5. Klik Aktifkan kebijakan keamanan konten.
  6. Konfigurasikan CSP atau biarkan default.
  7. Klik Simpan.

Anda dapat memulihkan kebijakan CSP default kapan saja dengan mengklik Pulihkan default.