콘텐츠 보안 정책 관리

  • 아티클

참고

2022년 10월 12일부터 Power Apps 포털이 Power Pages가 됩니다. 추가 정보: Microsoft Power Pages는 이제 일반적으로 사용할 수 있습니다(블로그)
곧 Power Apps 포털 설명서를 마이그레이션하고 Power Pages 설명서와 병합할 예정입니다.

콘텐츠 보안 정책(CSP)은 데이터 도난, 사이트 변조 또는 맬웨어 배포와 같은 일부 유형의 웹 공격을 감지하고 완화하는 데 도움이 되는 추가 보안 계층입니다. CSP는 사이트 페이지가 로드할 수 있는 리소스를 제어하는 데 도움이 되는 광범위한 정책 지시문을 제공합니다. 각 지시문은 특정 유형의 리소스에 대한 제한 사항을 정의합니다.

포털 웹 사이트에 대해 CSP를 켜면 알 수 없거나 악의적인 소스에서 비롯된 연결, 스크립트, 글꼴 및 기타 유형의 리소스를 차단하여 보안을 강화하는 데 도움이 됩니다. CSP는 포털에서 기본적으로 꺼져 있지만 많은 웹 사이트에서 다른 보안을 강화하기 위해 CSP가 필요할 수 있습니다.

CSP에 대한 자세한 내용은 콘텐츠 보안 정책 참조로 이동하십시오.

CSP 구성

  1. Power Apps에 로그인합니다.

  2. 포털이 존재하는 환경에 있는지 확인해야 합니다.

  3. 왼쪽 창에서 을 선택하고 포털 관리을 선택합니다.

    포털 관리 앱이 선택된 Power Apps용 앱 메뉴 옵션.

  4. 왼쪽 창에서 사이트 설정을 선택합니다.

  5. HTTP/Content-Security-Policy 사이트 설정을 생성(또는 업데이트)하고 CSP 참조 페이지에서 필요한 값을 세미콜론으로 구분하여 설정합니다.

    예제

    script-src 'self' https://js.example.com;style-src 'self' https://css.example.com

    Power Apps의 사이트 설정 메뉴 옵션.

nonce 활성화

nonce(한 번 사용된 숫자)를 활성화하면 인라인 스크립트 내에 지정된 스크립트를 제외한 모든 인라인 스크립트의 실행이 차단됩니다. 고유한 암호화 nonce가 생성되어 CSP 헤더에 지정된 각 스크립트에 추가됩니다. 포털에서 nonce는 인라인 스크립트와 인라인 이벤트 처리기만 지원합니다. nonce에 대한 자세한 내용은 CSP와 함께 nonce 사용으로 이동하십시오.

포털에서 Nonce를 활성화하려면 HTTP/Content-Security-Policy 사이트 설정에 script-src 'nonce'; 값을 추가하세요.

예제

엄격한 정책을 원하고 포털 외부의 소스에서 스크립트 로드를 허용하지 않으려면 다음을 사용하십시오.

script-src 'self' content.powerapps.com 'nonce'

보안 소스에서 스크립트를 로드하려면 다음을 사용하십시오.

script-src https: 'nonce'

참고

  • nonce가 활성화되면 안전하지 않은 코드의 자동 평가를 지원하기 위해 unsafe-eval이 자동으로 삽입됩니다. unsafe-eval의 자동 삽입을 비활성화하려면 사이트 설정 HTTP/Content-Security-Policy/Inject-unsafe-evalfalse로 업데이트하세요.
  • unsafe-eval 주입이 비활성화된 경우 기본 또는 고급 양식에서 자동으로 생성된 필드의 유효성 검사가 더 이상 올바르게 작동하지 않을 수 있습니다.