Halaman ini berlaku untuk Apigee dan Apigee Hybrid.
Baca dokumentasi
Apigee Edge.
Konfigurasi kebijakan keamanan konten (CSP) untuk semua halaman di portal Anda agar terlindung dari pembuatan skrip lintas situs (XSS) dan serangan injeksi kode lainnya. CSP menentukan sumber tepercaya untuk konten seperti skrip, gaya, dan gambar. Setelah mengonfigurasi kebijakan, konten yang dimuat dari sumber tidak tepercaya akan diblokir oleh browser Anda.
CSP ditambahkan sebagai header respons HTTP Content-Security-Policy ke semua halaman di portal Anda, sebagai berikut:
Content-Security-Policy: policy
Anda menetapkan kebijakan menggunakan perintah, seperti yang ditetapkan dalam Content Security Policy Directive di situs W3C.
Jika Anda mengaktifkan header CSP, secara default perintah CSP berikut ditentukan:
default-src 'unsafe-eval' 'unsafe-inline' * data:
Perintah default-src mengonfigurasi kebijakan default untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi.
Tabel berikut menjelaskan kebijakan yang ditentukan sebagai bagian dari perintah default.
| Kebijakan | Akses |
|---|---|
'unsafe-inline' |
Resource inline, seperti elemen <script> inline, URL javascript:, pengendali peristiwa inline, dan elemen <style> inline. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal. |
'unsafe-eval' |
Evaluasi kode dinamis yang tidak aman seperti JavaScript eval() dan metode serupa yang digunakan untuk membuat kode dari string. Catatan: Anda harus menyertakan kebijakan dalam tanda kutip tunggal. |
* (wildcard) |
URL apa pun kecuali skema data:, blob:, dan filesystem:. |
data: |
Resource yang dimuat melalui skema data (misalnya, gambar berenkode Base64). |
Berikut ini contoh cara mengonfigurasi CSP untuk membatasi jenis resource tertentu.
| Kebijakan | Akses |
|---|---|
default-src 'none' |
Tidak ada akses untuk jenis resource yang tidak memiliki perintah yang dikonfigurasi. |
img-src * |
URL gambar dari sumber apa pun. |
media-src https://example.com/ |
URL video atau audio melalui HTTPS dari domain example.com. |
script-src *.example.com |
Eksekusi semua skrip dari subdomain example.com. |
style-src 'self' css.example.com |
Penerapan gaya apa pun dari asal situs atau domain css.example.com. |
Untuk mengonfigurasi kebijakan keamanan konten:
- Pilih Publikasikan > Portal dan pilih portal Anda.
- Pilih Setelan dari menu drop-down pada menu navigasi atas.
- Atau, klik Setelan di halaman landing portal.
- Klik tab Keamanan.
- Klik Aktifkan kebijakan keamanan konten.
- Konfigurasikan CSP atau biarkan default.
- Klik Save.
Anda dapat memulihkan kebijakan CSP default kapan saja dengan mengklik Restore default.