Questa pagina si applica a Apigee e Apigee ibrido.
Visualizza la documentazione di
Apigee Edge.
Configura un criterio di sicurezza del contenuto (CSP) per tutte le pagine del portale per proteggerti da attacchi cross-site scripting (XSS) e altri attacchi di code-injection. Il CSP definisce fonti attendibili per i contenuti, come script, stili e immagini. Dopo aver configurato un criterio, i contenuti caricati da fonti non attendibili verranno bloccati dal browser.
Il CSP viene aggiunto come intestazione della risposta HTTP Content-Security-Policy
a tutte le pagine del tuo portale, come segue:
Content-Security-Policy: policy
Devi definire il criterio utilizzando le istruzioni, come definito nelle direttive dei criteri di sicurezza del contenuto nel sito di W3C.
Se abiliti l'intestazione CSP, per impostazione predefinita è definita la seguente istruzione CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
L'istruzione default-src
configura il criterio predefinito per i tipi di risorse per cui non è configurata un'istruzione.
La tabella seguente descrive i criteri definiti come parte dell'istruzione predefinita.
Norme | Accedi |
---|---|
'unsafe-inline' |
Risorse in linea, come gli elementi <script> in linea, gli URL javascript: , i gestori di eventi e gli elementi <style> incorporati. Nota: devi racchiudere la norma tra virgolette singole. |
'unsafe-eval' |
Valutazione di codici dinamici non sicuri come JavaScript eval() e metodi simili utilizzati per creare codice dalle stringhe. Nota: devi racchiudere la norma tra virgolette singole. |
* (wildcard) |
Qualsiasi URL, tranne gli schemi data: , blob: e filesystem: . |
data: |
Risorse caricate tramite lo schema dei dati (ad esempio, immagini con codifica Base64). |
Di seguito vengono forniti esempi di configurazione del CSP per limitare tipi di risorse specifici.
Norme | Accedi |
---|---|
default-src 'none' |
Nessun accesso per i tipi di risorse per cui non è configurata un'istruzione. |
img-src * |
URL immagine da qualsiasi origine. |
media-src https://example.com/ |
URL video o audio tramite HTTPS dal dominio example.com . |
script-src *.example.com |
Esecuzione di qualsiasi script da un sottodominio di example.com . |
style-src 'self' css.example.com |
Applicazione di qualsiasi stile proveniente dall'origine del sito o dal dominio css.example.com . |
Per configurare un criterio di sicurezza del contenuto:
- Seleziona Pubblica > Portali e scegli il tuo portale.
- Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto.
- In alternativa, fai clic su Impostazioni nella pagina di destinazione del portale.
- Fai clic sulla scheda Sicurezza.
- Fai clic su Attiva il criterio di sicurezza del contenuto.
- Configura il CSP o lascia il valore predefinito.
- Fai clic su Salva.
Puoi ripristinare il criterio CSP predefinito in qualsiasi momento facendo clic su Ripristina impostazioni predefinite.