Zelfstudie: Beveiligingsheaders toevoegen met de engine voor regels
In deze zelfstudie ziet u hoe u beveiligingskopteksten implementeert om beveiligingsproblemen in browsers te voorkomen, bijvoorbeeld HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy of X-Frame-Options. Kenmerken op basis van beveiliging kunnen ook worden gedefinieerd met cookies.
In het volgende voorbeeld ziet u hoe u een Content-Security-Policy-koptekst kunt toevoegen aan alle inkomende aanvragen die overeenkomen met het pad dat is opgegeven in de route waaraan de configuratie van uw regelengine is gekoppeld. Hier worden alleen scripts van onze vertrouwde site, https://apiphany.portal.azure-api.net , toegestaan om op onze toepassing te worden uitgevoerd.
In deze zelfstudie leert u het volgende:
- Een Content-Security-Policy configureren in de regelengine.
Vereisten
- Voordat u de stappen in deze zelfstudie kunt voltooien, moet u een Front Door maken. Raadpleeg Snelstartgids: Een Front Door maken voor meer informatie.
- Als dit de eerste keer is dat u de regelenginefunctie gebruikt, raadpleegt u Een regelengine instellen.
Een Content-Security-Policy-koptekst toevoegen in de Azure-portal
Klik op Toevoegen als u een nieuwe regel wilt toevoegen. Geef een naam op voor de regel en klik op Een actie toevoegen > Antwoordheader.
Stel de operator in op Toevoegen om deze header toe te voegen als antwoord op alle inkomende aanvragen voor deze route.
Voeg de naam van de header toe: Content-Security-Policy en definieer de waarden die deze header moet accepteren. In dit scenario kiezen we "script-src 'self' https://apiphany.portal.azure-api.net."
Notitie
Headerwaarden zijn beperkt tot 640 tekens.
Wanneer u alle regels hebt toegevoegd die u voor uw configuratie wilt gebruiken, gaat u naar uw route van voorkeur en koppelt u de configuratie van uw regelengine aan uw routeregel. Deze stap is vereist om de regel te laten werken.
Notitie
In dit scenario hebben we geen voorwaarden voor overeenkomst aan de regel toegevoegd. Deze regel wordt toegepast op alle inkomende aanvragen die overeenkomen met het pad dat in de routeregel is gedefinieerd. Als deze alleen wilt toepassen op een subset van die aanvragen, moet u uw specifieke voorwaarden voor overeenkomst aan deze regel toevoegen.
Resources opschonen
In de voorgaande stappen hebt u beveiligingsheaders geconfigureerd met de regelengine. Als u de regel niet meer wilt, kunt u deze verwijderen door op Regel verwijderen te klikken.
Volgende stappen
Ga verder met de volgende zelfstudie voor meer informatie over het configureren van een Web Application Firewall voor uw Front Door.