Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Configura un criterio di sicurezza del contenuto (CSP) per tutte le pagine del portale per proteggerti da attacchi cross-site scripting (XSS) e altri attacchi di iniezione di codice. La CSP definisce origini attendibili per i contenuti, ad esempio script, stili e immagini. Dopo aver configurato una policy, i contenuti caricati da origini non attendibili verranno bloccati dal browser.
CSP viene aggiunto come intestazione della risposta HTTP Content-Security-Policy a tutte le pagine del portale, come segue:
Content-Security-Policy: policy
Definisci i criteri utilizzando le direttive, come definito in Direttive dei criteri di sicurezza del contenuto nel sito W3C.
Se attivi l'intestazione CSP, per impostazione predefinita viene definita la seguente direttiva CSP:
default-src 'unsafe-eval' 'unsafe-inline' * data:
L'istruzione default-src configura il criterio predefinito per i tipi di risorse che non hanno un'istruzione configurata.
La tabella seguente descrive le norme definite nell'ambito della direttiva predefinita.
| Norme | Accesso |
|---|---|
'unsafe-inline' |
Risorse in linea, come elementi <script> in linea, URL javascript:, gestori di eventi in linea ed elementi <style> in linea. Nota: devi racchiudere il criterio tra virgolette singole. |
'unsafe-eval' |
Valutazione di codice dinamico non sicuro, ad esempio eval() JavaScript e metodi simili utilizzati per creare codice da stringhe. Nota: devi racchiudere il criterio tra virgolette singole. |
* (wildcard) |
Qualsiasi URL, ad eccezione degli schemi data:, blob: e filesystem:. |
data: |
Risorse caricate tramite lo schema dati (ad esempio, immagini codificate in Base64). |
Di seguito sono riportati esempi di configurazione di CSP per limitare tipi di risorse specifici.
| Norme | Accesso |
|---|---|
default-src 'none' |
Nessun accesso per i tipi di risorse che non hanno un'istruzione configurata. |
img-src * |
URL dell'immagine da qualsiasi origine. |
media-src https://example.com/ |
URL video o audio tramite HTTPS dal dominio example.com. |
script-src *.example.com |
Esecuzione di qualsiasi script da un sottodominio di example.com. |
style-src 'self' css.example.com |
Applicazione di qualsiasi stile dall'origine del sito o dal dominio css.example.com. |
Per configurare una policy di sicurezza dei contenuti:
Nella console Apigee in Cloud, vai alla pagina Distribuzione > Portali.
Fai clic sul portale.
Fai clic su Impostazioni nel menu di navigazione.
Fai clic sulla scheda Sicurezza.
Fai clic su Abilita policy di sicurezza dei contenuti.
Configura il CSP o lascia il valore predefinito.
Fai clic su Salva.
Puoi ripristinare la policy CSP predefinita in qualsiasi momento facendo clic su Ripristina impostazioni predefinite.