Configurare una policy di sicurezza dei contenuti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Configura un Content Security Policy (CSP) per tutte le pagine del portale per proteggerti da attacchi cross-site scripting (XSS) e altri attacchi di iniezione di codice. La CSP definisce origini attendibili per i contenuti, ad esempio script, stili e immagini. Dopo aver configurato una policy, i contenuti caricati da origini non attendibili verranno bloccati dal browser.

CSP viene aggiunto come intestazione della risposta HTTP Content-Security-Policy a tutte le pagine del portale, come segue:

Content-Security-Policy: policy

Definisci i criteri utilizzando le direttive, come definito in Direttive per i criteri di sicurezza del contenuto nel sito W3C.

Se attivi l'intestazione CSP, per impostazione predefinita viene definita la seguente direttiva CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

L'istruzione default-src configura il criterio predefinito per i tipi di risorse che non hanno un'istruzione configurata.

La tabella seguente descrive le norme definite nell'ambito della direttiva predefinita.

Norme Accesso
'unsafe-inline' Risorse incorporate, come elementi <script> incorporati, URL javascript:, gestori di eventi incorporati ed elementi <style> incorporati. Nota: devi racchiudere il criterio tra virgolette singole.
'unsafe-eval' Valutazione di codice dinamico non sicuro, ad esempio eval() JavaScript e metodi simili utilizzati per creare codice da stringhe. Nota: devi racchiudere il criterio tra virgolette singole.
* (wildcard) Qualsiasi URL, ad eccezione degli schemi data:, blob: e filesystem:.
data: Risorse caricate tramite lo schema dati (ad esempio, immagini codificate Base64).

Di seguito sono riportati esempi di configurazione di CSP per limitare tipi di risorse specifici.

Norme Accesso
default-src 'none' Nessun accesso per i tipi di risorse che non hanno un'istruzione configurata.
img-src * URL dell'immagine da qualsiasi origine.
media-src https://example.com/ URL video o audio tramite HTTPS dal dominio example.com.
script-src *.example.com Esecuzione di qualsiasi script da un sottodominio di example.com.
style-src 'self' css.example.com Applicazione di qualsiasi stile dall'origine del sito o dal dominio css.example.com.

Per configurare una policy di sicurezza dei contenuti:

UI di Cloud Console

  1. Nella console Apigee in Cloud, vai alla pagina Distribuzione > Portali.

    Vai a Portali

  2. Fai clic sul portale.

  3. Fai clic su Impostazioni nel menu di navigazione.

  4. Fai clic sulla scheda Sicurezza.

  5. Fai clic su Abilita policy di sicurezza dei contenuti.

  6. Configura il CSP o lascia il valore predefinito.

  7. Fai clic su Salva.

UI classica

  1. Seleziona Pubblica > Portali e seleziona il tuo portale.
  2. Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto.
  3. In alternativa, fai clic su Impostazioni nella home page del portale.
  4. Fai clic sulla scheda Sicurezza.
  5. Fai clic su Abilita policy di sicurezza dei contenuti.
  6. Configura il CSP o lascia il valore predefinito.
  7. Fai clic su Salva.

Puoi ripristinare la policy CSP predefinita in qualsiasi momento facendo clic su Ripristina impostazioni predefinite.