Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare una policy di sicurezza dei contenuti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Configura un criterio di sicurezza dei contenuti (CSP) per tutte le pagine del tuo portale per proteggerti dagli attacchi cross-site scripting (XSS) e da altri attacchi di inserimento di codice. Il CSP definisce le origini attendibili per i contenuti, ad esempio script, stili e immagini. Dopo aver configurato una norma, i contenuti caricati da origini non attendibili verranno bloccati dal browser.

Il CSP viene aggiunto come intestazione di risposta HTTP Content-Security-Policy a tutte le pagine del tuo portale, come segue:

Content-Security-Policy: policy

Puoi definire i criteri utilizzando le istruzioni, come definito nelle istruzioni dei criteri di sicurezza del contenuto nel sito W3C.

Se attivi l'intestazione CSP, per impostazione predefinita viene definita la seguente istruzione CSP:

default-src 'unsafe-eval' 'unsafe-inline' * data:

L'istruzione default-src configura il criterio predefinito per i tipi di risorse che non hanno un'istruzione configurata.

La tabella seguente descrive i criteri definiti nell'ambito della direttiva predefinita.

Norme	Accesso
`'unsafe-inline'`	Risorse in linea, come elementi `<script>` in linea, URL `javascript:`, gestori eventi in linea ed elementi `<style>` in linea. Nota: devi racchiudere il criterio tra virgolette singole.
`'unsafe-eval'`	Valutazione di codice dinamico non sicuro, come JavaScript `eval()` e metodi simili utilizzati per creare codice da stringhe. Nota: devi racchiudere il criterio tra virgolette singole.
`* (wildcard)`	Qualsiasi URL, ad eccezione degli schemi `data:`, `blob:` e `filesystem:`.
`data:`	Risorse caricate tramite lo schema di dati (ad esempio immagini con codifica Base64).

Di seguito sono riportati alcuni esempi di configurazione del CSP per limitare tipi di risorse specifici.

Norme	Accesso
`default-src 'none'`	Nessun accesso per i tipi di risorse che non hanno una direttiva configurata.
`img-src *`	URL immagine da qualsiasi origine.
`media-src https://example.com/`	URL video o audio tramite HTTPS dal dominio `example.com`.
`script-src *.example.com`	Esecuzione di qualsiasi script da un sottodominio di `example.com`.
`style-src 'self' css.example.com`	Applicazione di qualsiasi stile dall'origine del sito o dal dominio `css.example.com`.

Per configurare una policy di sicurezza dei contenuti:

Seleziona Pubblica > Portali e seleziona il tuo portale.
Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto.
In alternativa, fai clic su Impostazioni nella pagina di destinazione del portale.
Fai clic sulla scheda Sicurezza.
Fai clic su Attiva le policy di sicurezza dei contenuti.
Configura il CSP o lascia quello predefinito.
Fai clic su Salva.

Puoi ripristinare il criterio CSP predefinito in qualsiasi momento facendo clic su Ripristina predefinito.