Configure uma Política de Segurança de Conteúdos

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Configure uma Política de Segurança de Conteúdos (CSP) para todas as páginas no seu portal para se proteger contra cross-site scripting (XSS) e outros ataques de injeção de código. A CSP define origens fidedignas para conteúdo, como scripts, estilos e imagens. Depois de configurar uma política, o conteúdo carregado a partir de origens não fidedignas é bloqueado pelo seu navegador.

A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy a todas as páginas no seu portal, da seguinte forma:

Content-Security-Policy: policy

Define a política através de diretivas, conforme definido nas Diretivas da Política de Segurança de Conteúdos no site do W3C.

Se ativar o cabeçalho CSP, a seguinte diretiva CSP é definida por predefinição:

default-src 'unsafe-eval' 'unsafe-inline' * data:

A diretiva default-src configura a política predefinida para os tipos de recursos que não têm uma diretiva configurada.

A tabela seguinte descreve as políticas definidas como parte da diretiva predefinida.

Política Acesso
'unsafe-inline' Recursos inline, como elementos <script> inline, URLs javascript:, controladores de eventos inline e elementos <style> inline. Nota: tem de colocar a política entre aspas simples.
'unsafe-eval' Avaliação de código dinâmico não seguro, como JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Nota: tem de colocar a política entre aspas simples.
* (wildcard) Qualquer URL, exceto os esquemas data:, blob: e filesystem:.
data: Recursos carregados através do esquema de dados (por exemplo, imagens codificadas em base64).

Seguem-se exemplos de configuração da CSP para restringir tipos de recursos específicos.

Política Acesso
default-src 'none' Não tem acesso a tipos de recursos que não tenham uma diretiva configurada.
img-src * URL da imagem de qualquer origem.
media-src https://example.com/ URL de vídeo ou áudio através de HTTPS do domínio example.com.
script-src *.example.com Execução de qualquer script a partir de um subdomínio de example.com.
style-src 'self' css.example.com Aplicação de qualquer estilo da origem do site ou do domínio css.example.com.

Para configurar uma política de segurança de conteúdos:

IU da Cloud Console

  1. Na consola do Apigee in Cloud, aceda à página Distribuição > Portais.

    Aceda a Portais

  2. Clique no portal.

  3. Clique em Definições no menu de navegação.

  4. Clique no separador Segurança.

  5. Clique em Ativar política de segurança de conteúdos.

  6. Configure a CSP ou mantenha a predefinição.

  7. Clique em Guardar.

IU clássica

  1. Selecione Publicar > Portais e selecione o seu portal.
  2. Selecione Definições no menu pendente na barra de navegação superior.
  3. Em alternativa, clique em Definições na página de destino do portal.
  4. Clique no separador Segurança.
  5. Clique em Ativar política de segurança de conteúdos.
  6. Configure a CSP ou mantenha a predefinição.
  7. Clique em Guardar.

Pode restaurar a política de CSP predefinida em qualquer altura clicando em Restaurar predefinição.