Configurare un criterio di sicurezza del contenuto

Questa pagina si applica a Apigee e Apigee ibridi.

Visualizza la documentazione di Apigee Edge.

Configura un criterio di sicurezza del contenuto (CSP) per tutte le pagine del tuo portale per proteggerti dagli attacchi cross-site scripting (XSS) e da altri attacchi di inserimento di codice. Il CSP definisce le fonti attendibili dei contenuti, come script, stili e immagini. Dopo aver configurato un criterio, i contenuti caricati da origini non attendibili verranno bloccati dal browser.

Il CSP viene aggiunto come intestazione della risposta HTTP Content-Security-Policy a tutte le pagine del tuo portale, come segue:

Content-Security-Policy: policy

Devi definire il criterio utilizzando le istruzioni, come definito nelle direttive dei criteri di sicurezza del contenuto nel sito di W3C.

Se attivi l'intestazione CSP, per impostazione predefinita viene definita la seguente istruzione CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

L'istruzione default-src configura il criterio predefinito per i tipi di risorse che non hanno un'istruzione configurata.

La tabella seguente descrive i criteri definiti nell'ambito della direttiva predefinita.

Norme Accesso
'unsafe-inline' Risorse in linea, come elementi <script> in linea, URL javascript:, gestori eventi in linea ed elementi <style> in linea. Nota: devi racchiudere il criterio tra virgolette singole.
'unsafe-eval' Valutazione di codici dinamici non sicuri come JavaScript eval() e metodi simili utilizzati per creare codice dalle stringhe. Nota: devi racchiudere la norma tra virgolette singole.
* (wildcard) Qualsiasi URL, ad eccezione degli schemi data:, blob: e filesystem:.
data: Risorse caricate tramite lo schema di dati (ad esempio immagini con codifica Base64).

Di seguito vengono forniti esempi di configurazione del CSP per limitare tipi di risorse specifici.

Norme Accesso
default-src 'none' Nessun accesso per i tipi di risorse per cui non è configurata un'istruzione.
img-src * URL immagine da qualsiasi origine.
media-src https://example.com/ URL video o audio tramite HTTPS dal dominio example.com.
script-src *.example.com Esecuzione di qualsiasi script da un sottodominio di example.com.
style-src 'self' css.example.com Applicazione di qualsiasi stile dall'origine del sito o dal dominio css.example.com.

Per configurare un criterio di sicurezza del contenuto:

  1. Seleziona Pubblica > Portals e seleziona il tuo portale.
  2. Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto.
  3. In alternativa, fai clic su Impostazioni nella pagina di destinazione del portale.
  4. Fai clic sulla scheda Sicurezza.
  5. Fai clic su Attiva il criterio di sicurezza del contenuto.
  6. Configura il CSP o lascia il valore predefinito.
  7. Fai clic su Salva.

Puoi ripristinare il criterio CSP predefinito in qualsiasi momento facendo clic su Ripristina predefinito.