Esta página aplica-se ao Apigee e ao Apigee Hybrid.
Ver documentação do
Apigee Edge.
Configure uma Política de Segurança de Conteúdos (CSP) para todas as páginas no seu portal para se proteger contra cross-site scripting (XSS) e outros ataques de injeção de código. A CSP define origens fidedignas para conteúdo, como scripts, estilos e imagens. Depois de configurar uma política, o conteúdo carregado de origens não fidedignas é bloqueado pelo seu navegador.
A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy a todas as páginas no seu portal, da seguinte forma:
Content-Security-Policy: policy
Define a política através de diretivas, conforme definido em Diretivas da Política de Segurança de Conteúdos no site do W3C.
Se ativar o cabeçalho CSP, a seguinte diretiva CSP é definida por predefinição:
default-src 'unsafe-eval' 'unsafe-inline' * data:
A diretiva default-src configura a política predefinida para os tipos de recursos que não têm uma diretiva configurada.
A tabela seguinte descreve as políticas definidas como parte da diretiva predefinida.
| Política | Acesso |
|---|---|
'unsafe-inline' |
Recursos inline, como elementos <script> inline, URLs javascript:, controladores de eventos inline e elementos <style> inline. Nota: tem de colocar a política entre aspas simples. |
'unsafe-eval' |
Avaliação de código dinâmico não seguro, como JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Nota: tem de colocar a política entre aspas simples. |
* (wildcard) |
Qualquer URL, exceto os esquemas data:, blob: e filesystem:. |
data: |
Recursos carregados através do esquema de dados (por exemplo, imagens codificadas em base64). |
Seguem-se exemplos de configuração da CSP para restringir tipos de recursos específicos.
| Política | Acesso |
|---|---|
default-src 'none' |
Não tem acesso a tipos de recursos que não tenham uma diretiva configurada. |
img-src * |
URL da imagem de qualquer origem. |
media-src https://example.com/ |
URL de vídeo ou áudio através de HTTPS do domínio example.com. |
script-src *.example.com |
Execução de qualquer script a partir de um subdomínio de example.com. |
style-src 'self' css.example.com |
Aplicação de qualquer estilo da origem do site ou do domínio css.example.com. |
Para configurar uma política de segurança de conteúdos:
Na consola do Apigee in Cloud, aceda à página Distribuição > Portais.
Clique no portal.
Clique em Definições no menu de navegação.
Clique no separador Segurança.
Clique em Ativar política de segurança de conteúdos.
Configure a CSP ou mantenha a predefinição.
Clique em Guardar.
Pode restaurar a política de CSP predefinida em qualquer altura clicando em Restaurar predefinição.