Configurar uma política de segurança de conteúdo

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Configure uma política de segurança de conteúdo (CSP) para todas as páginas do portal a fim de proteger contra scripting em vários locais (XSS) e outros com injeção de código. A CSP define fontes confiáveis para conteúdo como scripts, estilos e imagens. Depois que você configurar uma política, o conteúdo carregado de fontes não confiáveis será bloqueado pelo navegador.

A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy a todas as páginas do portal, da seguinte maneira:

Content-Security-Policy: policy

Você define a política usando diretivas, conforme definido nas Diretivas de Política de Segurança de Conteúdo do site do W3C.

Se você ativar o cabeçalho CSP, a seguinte diretiva será definida por padrão:

default-src 'unsafe-eval' 'unsafe-inline' * data:

A diretiva default-src configura a política padrão para tipos de recursos que não têm uma diretiva configurada.

A tabela a seguir descreve as políticas definidas como parte da diretiva padrão.

Política Acesso
'unsafe-inline' Recursos inline, como elementos <script> inline, URLs javascript:, manipuladores de eventos inline e elementos <style> inline. Observação: é preciso colocar a política entre aspas simples.
'unsafe-eval' Avaliação não segura do código dinâmico, como o JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Observação: é preciso colocar a política entre aspas simples.
* (wildcard) Qualquer URL, exceto os esquemas data:, blob: e filesystem:.
data: Recursos carregados por meio do esquema de dados (por exemplo, imagens codificadas em Base64).

Confira a seguir exemplos de como configurar a CSP para restringir tipos de recursos específicos.

Política Acesso
default-src 'none' Não há acesso para tipos de recursos que não têm uma diretiva configurada.
img-src * URL da imagem de qualquer origem.
media-src https://example.com/ URL de vídeo ou áudio por HTTPS do domínio example.com.
script-src *.example.com Execução de qualquer script de um subdomínio de example.com.
style-src 'self' css.example.com Aplicação de qualquer estilo da origem do site ou do domínio css.example.com.

Para configurar uma política de segurança de conteúdo:

IU do Console do Cloud

  1. No console do Apigee no Cloud, acesse a página Distribuição > Portais.

    Acessar "Portais"

  2. Clique no seu portal.

  3. Clique em Configurações no menu de navegação.

  4. Clique na guia Segurança.

  5. Clique em Ativar a Política de Segurança de Conteúdo.

  6. Configure o CSP ou deixe o padrão.

  7. Clique em Salvar.

IU clássica

  1. Selecione Publicar > Portais e selecione seu portal.
  2. Selecione Configurações no menu suspenso na barra de navegação superior.
  3. Se preferir, clique em Configurações na página de destino do portal.
  4. Clique na guia Segurança.
  5. Clique em Ativar a Política de Segurança de Conteúdo.
  6. Configure o CSP ou deixe o padrão.
  7. Clique em Salvar.

É possível restaurar a política de CSP padrão a qualquer momento clicando em Restaurar padrão.