Configura una política de seguridad del contenido

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Configura una política de seguridad del contenido (CSP) para todas las páginas de tu portal a fin de proteger contra las secuencias de comandos entre sitios (XSS) y otros ataques de inyección de código. El CSP define fuentes de confianza para el contenido, como las secuencias de comandos, los estilos y las imágenes. Después de configurar una política, tu navegador bloqueará el contenido que se cargue desde fuentes no confiables.

El CSP se agrega como un encabezado de respuesta HTTP Content-Security-Policy a todas las páginas de tu portal de la siguiente manera:

Content-Security-Policy: policy

Debes definir la política mediante directivas, como se define en Directivas de Políticas de Seguridad del Contenido en el sitio de W3C.

Si habilitas el encabezado de CSP, se define de forma predeterminada la siguiente directiva de CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

La directiva default-src configura la política predeterminada para los tipos de recursos que no tienen una directiva configurada.

En la siguiente tabla, se describen las políticas definidas como parte de la directiva predeterminada.

Política Acceso
'unsafe-inline' Recursos intercalados, como elementos <script> intercalados, URLs javascript:, controladores de eventos intercalados y elementos <style> intercalados. Nota: Debes encerrar la política entre comillas simples.
'unsafe-eval' Evaluación de código dinámico no segura, como JavaScript eval(), y métodos similares que se usan para crear código a partir de cadenas. Nota: Debes encerrar la política entre comillas simples.
* (wildcard) Cualquier URL, excepto los esquemas data:, blob: y filesystem:.
data: Recursos cargados a través del esquema de datos (por ejemplo, imágenes codificadas en base64).

A continuación, se proporcionan ejemplos de configuración del CSP para restringir tipos de recursos específicos.

Política Acceso
default-src 'none' No hay acceso para tipos de recursos que no tengan una directiva configurada.
img-src * URL de la imagen de cualquier fuente.
media-src https://example.com/ URL de video o audio mediante HTTPS desde el dominio example.com.
script-src *.example.com Ejecución de cualquier secuencia de comandos desde un subdominio de example.com.
style-src 'self' css.example.com Aplicación de cualquier estilo desde el origen del sitio o el dominio css.example.com.

Para configurar una política de seguridad del contenido, sigue estos pasos:

  1. Selecciona Publicar > Portales y selecciona tu portal.
  2. Selecciona Configuración en el menú desplegable de la barra de navegación superior.
  3. De manera alternativa, haz clic en Configuración en la página de destino del portal.
  4. Haz clic en la pestaña Seguridad.
  5. Haz clic en Habilitar política de seguridad de contenido.
  6. Configura el CSP o deja el valor predeterminado.
  7. Haz clic en Guardar.

Puedes restablecer la política de CSP predeterminada en cualquier momento si haces clic en Restablecer predeterminado.