管理內容安全性原則
注意
自 2022 年 10 月 12 日起,Power Apps 入口網站為 Power Pages。 其他資訊:Microsoft Power Pages 現在已推出 (部落格)
我們很快就會遷移並將 Power Apps 入口網站文件與 Power Pages 文件併合。
內容安全性原則 (CSP) 是額外的安全性層,協助偵測和緩解某些類型的網路攻擊,例如資料竊取、網站篡改或惡意軟體的分發。 CSP 提供一組廣泛的原則指令,可協助您控制允許載入網站頁面的資源。 每個指令都會定義特定資源類型的限制。
入口網站啟用 CSP 後,它會封鎖來自未知或惡意來源的連接、指令碼、字體和其他類型的資源,以協助增強安全性。 CSP 在入口網站中預設為關閉;但許多網站可能需要 CSP 來增強其他安全性。
如需 CSP 的詳細資訊,請前往內容安全性原則參考。
設定 CSP
登入 Power Apps。
請確定您處於有入口網站的環境中。
在左導覽窗格選取應用程式,然後選取入口網站管理應用程式。
在左窗格中,選取網站設定。
建立 (或更新) HTTP/Content-Security-Policy 網站設定,並在 CSP 參考頁面中設定您所需的值 (以分號分隔)。
範例
script-src 'self' https://js.example.com;style-src 'self' https://css.example.com
啟用 Nonce
啟用 Nonce (使用一次的數字) 將封鎖所有內嵌指令碼的執行,除了內嵌指令碼中指定的那些。 產生一個唯一的加密隨機數並將其新增到 CSP 標題中指定的每個指令碼。 入口網站中,Nonce 只支援內嵌指令碼和內嵌事件處理常式。 如需 Nonce 的相關資訊,請前往與 CSP 一起使用 Nonce。
若要在入口網站中啟用 Nonce,請將 script-src 'nonce'; 值新增到 HTTP/Content-Security-Policy 網站設定。
範例
如果您想要使用嚴格原則,且不想允許從入口網站之外的來源載入指令碼,請使用以下項目:
script-src 'self' content.powerapps.com 'nonce'
如果您想要從任何安全來源載入指令碼,請使用以下項目:
script-src https: 'nonce'
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應