Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Configura un criterio di sicurezza del contenuto (CSP) per tutte le pagine del tuo portale per proteggerti da cross-site scripting (XSS) e altri attacchi di code-injection. Il CSP definisce fonti attendibili per contenuti, come script, stili e immagini. Dopo aver configurato un criterio, i contenuti caricati da fonti non attendibili verranno bloccati dal browser.
Il CSP viene aggiunto come intestazione della risposta HTTP Content-Security-Policy a tutte le pagine del tuo portale, in questo modo:
Content-Security-Policy: policy
Puoi definire il criterio tramite istruzioni, come definito nelle direttive relative ai criteri di sicurezza del contenuto nel sito di W3C.
Se attivi l'intestazione CSP, per impostazione predefinita viene definita la seguente istruzione CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
L'istruzione default-src configura il criterio predefinito per i tipi di risorse che non hanno un'istruzione configurata.
La tabella seguente descrive i criteri definiti come parte dell'istruzione predefinita.
| Norme | Accesso |
|---|---|
'unsafe-inline' |
Risorse incorporate, ad esempio elementi <script> incorporati, URL javascript:, gestori di eventi incorporati ed elementi <style> incorporati. Nota: devi racchiudere la norma tra virgolette singole. |
'unsafe-eval' |
Valutazione di codice dinamico non sicuro come JavaScript eval() e metodi simili utilizzati per creare codice a partire da stringhe. Nota: devi racchiudere la norma tra virgolette singole. |
* (wildcard) |
Qualsiasi URL tranne gli schemi data:, blob: e filesystem:. |
data: |
Risorse caricate tramite lo schema di dati (ad esempio immagini con codifica Base64). |
Di seguito sono riportati alcuni esempi di configurazione del criterio CSP per limitare tipi di risorse specifici.
| Norme | Accesso |
|---|---|
default-src 'none' |
Nessun accesso per tipi di risorse che non hanno una direttiva configurata. |
img-src * |
URL dell'immagine da qualsiasi fonte. |
media-src https://example.com/ |
URL video o audio tramite HTTPS dal dominio example.com. |
script-src *.example.com |
Esecuzione di qualsiasi script da un sottodominio di example.com. |
style-src 'self' css.example.com |
Applicazione di qualsiasi stile proveniente dall'origine del sito o dal dominio css.example.com. |
Per configurare un criterio di sicurezza del contenuto:
- Seleziona Pubblica > Portali e seleziona il tuo portale.
- Seleziona Impostazioni nel menu a discesa nella barra di navigazione in alto.
- In alternativa, fai clic su Impostazioni nella pagina di destinazione del portale.
- Fai clic sulla scheda Sicurezza.
- Fai clic su Attiva criterio di sicurezza dei contenuti.
- Configura il CSP o lascia il valore predefinito.
- Fai clic su Salva.
Puoi ripristinare il criterio CSP predefinito in qualsiasi momento facendo clic su Ripristina impostazione predefinita.