Configurar una política de seguridad de contenido

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Configura una política de seguridad de contenido (CSP) para todas las páginas de tu portal con el fin de protegerte contra ataques de cross-site scripting (XSS) y otros ataques de inyección de código. La CSP define fuentes de confianza para contenido como secuencias de comandos, estilos e imágenes. Después de configurar una política, tu navegador bloqueará el contenido cargado de fuentes no fiables.

La CSP se añade como encabezado de respuesta HTTP Content-Security-Policy a todas las páginas de tu portal, de la siguiente manera:

Content-Security-Policy: policy

Para definir la política, debe usar directivas, tal como se indica en el artículo Directivas de la política de seguridad de contenido del sitio del W3C.

Si habilitas el encabezado CSP, se definirá de forma predeterminada la siguiente directiva CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

La directiva default-src configura la política predeterminada de los tipos de recursos que no tienen una directiva configurada.

En la siguiente tabla se describen las políticas definidas como parte de la directiva predeterminada.

Política Acceso
'unsafe-inline' Recursos insertados, como elementos <script>, URLs javascript:, controladores de eventos insertados y elementos <style> insertados. Nota: Debes incluir la política entre comillas simples.
'unsafe-eval' Evaluación de código dinámico no seguro, como eval() de JavaScript y métodos similares que se usan para crear código a partir de cadenas. Nota: Debes incluir la política entre comillas simples.
* (wildcard) Cualquier URL, excepto los esquemas data:, blob: y filesystem:.
data: Recursos cargados a través del esquema de datos (por ejemplo, imágenes codificadas en Base64).

A continuación, se ofrecen ejemplos de cómo configurar la CSP para restringir tipos de recursos específicos.

Política Acceso
default-src 'none' No se permite el acceso a los tipos de recursos que no tienen una directiva configurada.
img-src * URL de la imagen de cualquier fuente.
media-src https://example.com/ URL de vídeo o audio a través de HTTPS del dominio example.com.
script-src *.example.com Ejecución de cualquier secuencia de comandos de un subdominio de example.com.
style-src 'self' css.example.com Aplicación de cualquier estilo del origen del sitio o del dominio css.example.com.

Para configurar una política de seguridad de contenido, sigue estos pasos:

Interfaz de usuario de Cloud Console

  1. En la consola de Apigee en Cloud, ve a la página Distribución > Portales.

    Ir a Portales

  2. Haz clic en tu portal.

  3. En el menú de navegación, haz clic en Configuración.

  4. Haz clic en la pestaña Seguridad.

  5. Haz clic en Habilitar política de seguridad de contenido.

  6. Configura la CSP o deja el valor predeterminado.

  7. Haz clic en Guardar.

Interfaz clásica

  1. Seleccione Publicar > Portales y elija el portal.
  2. Selecciona Configuración en el menú desplegable de la barra de navegación superior.
  3. También puede hacer clic en Configuración en la página de destino del portal.
  4. Haz clic en la pestaña Seguridad.
  5. Haz clic en Habilitar política de seguridad de contenido.
  6. Configura la CSP o deja el valor predeterminado.
  7. Haz clic en Guardar.

Puede restaurar la política de CSP predeterminada en cualquier momento haciendo clic en Restaurar predeterminada.