הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
מומלץ להגדיר מדיניות אבטחה של תוכן (CSP) לכל הדפים בפורטל כדי להגן מפני פרצת אבטחה XSS (cross-site scripting) ומתקפות אחרות של הזרקת קוד. CSP מגדיר מקורות מהימנים לתוכן כמו סקריפטים, סגנונות ותמונות. אחרי שמגדירים מדיניות, הדפדפן חוסם תוכן שנטען ממקורות לא מהימנים.
ה-CSP מתווסף ככותרת תגובת HTTP Content-Security-Policy לכל הדפים בפורטל, באופן הבא:
Content-Security-Policy: policy
אתם מגדירים את המדיניות באמצעות הנחיות, כפי שמוגדרות בהנחיות של Content Security Policy באתר W3C.
אם מפעילים את כותרת ה-CSP, כברירת מחדל מוגדרת הוראת ה-CSP הבאה:
default-src 'unsafe-eval' 'unsafe-inline' * data:
ההוראה default-src מגדירה את מדיניות ברירת המחדל לסוגי משאבים שלא הוגדרה להם הוראה.
בטבלה הבאה מתוארות המדיניות שמוגדרות כחלק מההנחיה שמוגדרת כברירת מחדל.
| מדיניות | גישה |
|---|---|
'unsafe-inline' |
משאבים בתוך השורה, כמו רכיבי <script> בתוך השורה, כתובות URL של javascript:, רכיבי <style> בתוך השורה ומטפלי אירועים בתוך השורה. הערה: חובה להוסיף את המדיניות במירכאות בודדות. |
'unsafe-eval' |
הערכה לא בטוחה של קוד דינמי, כמו JavaScript eval() ושיטות דומות שמשמשות ליצירת קוד ממחרוזות. הערה: חובה להוסיף את המדיניות במירכאות בודדות. |
* (wildcard) |
כל כתובת URL חוץ מסכמות data:, blob: ו-filesystem:. |
data: |
משאבים שנטענים באמצעות סכמת הנתונים (לדוגמה, תמונות בקידוד Base64). |
בדוגמאות הבאות מוסבר איך מגדירים את ה-CSP כדי להגביל סוגים ספציפיים של משאבים.
| מדיניות | גישה |
|---|---|
default-src 'none' |
אין גישה לסוגי משאבים שלא הוגדרה להם הוראה. |
img-src * |
כתובת ה-URL של התמונה מכל מקור. |
media-src https://example.com/ |
כתובת URL של אודיו או וידאו ב-HTTPS מהדומיין example.com. |
script-src *.example.com |
הרצה של סקריפט מתת-דומיין של example.com. |
style-src 'self' css.example.com |
החלת סגנון כלשהו מהמקור של האתר או מהדומיין css.example.com. |
כדי להגדיר מדיניות אבטחת תוכן:
במסוף Apigee ב-Cloud, עוברים לדף Distribution > Portals.
לוחצים על הפורטל.
בתפריט הניווט, לוחצים על הגדרות.
לוחצים על הכרטיסייה אבטחה.
לוחצים על הפעלת מדיניות אבטחת תוכן.
מגדירים את ה-CSP או משאירים את ברירת המחדל.
לוחצים על Save.
אפשר לשחזר את מדיניות ה-CSP שמוגדרת כברירת מחדל בכל שלב. לשם כך, לוחצים על שחזור ברירת המחדל.