你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:使用规则引擎添加安全性标头
重要
Azure Front Door(经典版)将于 2027 年 3 月 31 日停用。 为了避免任何服务中断,请务必在 2027 年 3 月之前将 Azure Front Door(经典版)配置文件迁移到 Azure Front Door 标准层或高级层。 有关详细信息,请参阅 Azure Front Door(经典版)停用。
本教程介绍如何实现安全性标头以阻止基于浏览器的漏洞攻击,例如 HTTP Strict-Transport-Security (HSTS)、X-XSS-Protection、Content-Security-Policy 或 X-Frame-Options。 基于安全性的属性也可以用 Cookie 来定义。
下例演示了如何将 Content-Security-Policy 标头添加到所有传入请求中,这些请求与规则引擎配置关联的路由中定义的路径匹配。 在这里,我们仅允许来自受信任的站点 https://apiphany.portal.azure-api.net 的脚本在我们的应用程序上运行。
在本教程中,你将了解如何执行以下操作:
- 在规则引擎中配置内容安全性策略。
先决条件
- Azure 订阅。
- Azure Front Door。 若要完成本教程中的步骤,必须使用规则引擎配置 Front Door。 有关详细信息,请参阅快速入门:创建 Front Door 和配置规则引擎。
在 Azure 门户中添加 Content-Security-Policy 标头
在 Front door 资源中,在“设置”下选择“规则引擎配置”,然后选择要向其添加安全性标头的规则引擎。
选择“添加规则”以添加新规则。 为规则提供一个名称,然后选择“添加操作”>“响应标头”。
将运算符设置为“追加”,将此标头添加为对此路由的所有传入请求的响应。
添加标头名称:“Content-Security-Policy”,并定义此标头应接受的值,然后选择“保存”。 在此示例中,我们选择
script-src 'self' https://apiphany.portal.azure-api.net。
注意
标头值限制为 640 个字符。
完成将规则添加到配置后,请确保将规则引擎配置与所选路由的路由规则相关联。 若要使规则正常运行,需要执行此步骤。
注意
在此示例中,我们没有向规则添加匹配条件。 所有与路由规则中定义的路径匹配的传入请求都将应用此规则。 如果希望它仅应用于这些请求的一个子集,请确保将特定的“匹配条件”添加到此规则。
清理资源
在前面的步骤中,你已使用 Front Door 的规则引擎配置了安全性标头。 如果不再需要该规则,可以通过在规则引擎中选择“删除规则”将其删除。
后续步骤
若要了解如何为 Front Door 配置 Web 应用程序防火墙,请继续学习下一教程。