Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
Configure uma política de segurança de conteúdo (CSP) para todas as páginas do portal a fim de proteger contra scripting em vários locais (XSS) e outros com injeção de código. A CSP define fontes confiáveis para conteúdo como scripts, estilos e imagens. Depois que você configurar uma política, o conteúdo carregado de fontes não confiáveis será bloqueado pelo navegador.
A CSP é adicionada como um cabeçalho de resposta HTTP Content-Security-Policy a todas as páginas do portal, da seguinte maneira:
Content-Security-Policy: policy
Você define a política usando diretivas, conforme definido nas Diretivas de Política de Segurança de Conteúdo do site do W3C.
Se você ativar o cabeçalho CSP, a seguinte diretiva será definida por padrão:
default-src 'unsafe-eval' 'unsafe-inline' * data:
A diretiva default-src configura a política padrão para tipos de recursos que não têm uma diretiva configurada.
A tabela a seguir descreve as políticas definidas como parte da diretiva padrão.
| Política | Acesso |
|---|---|
'unsafe-inline' |
Recursos inline, como elementos <script> inline, URLs javascript:, manipuladores de eventos inline e elementos <style> inline. Observação: é preciso colocar a política entre aspas simples. |
'unsafe-eval' |
Avaliação não segura do código dinâmico, como o JavaScript eval() e métodos semelhantes usados para criar código a partir de strings. Observação: é preciso colocar a política entre aspas simples. |
* (wildcard) |
Qualquer URL, exceto os esquemas data:, blob: e filesystem:. |
data: |
Recursos carregados por meio do esquema de dados (por exemplo, imagens codificadas em Base64). |
Confira a seguir exemplos de como configurar a CSP para restringir tipos de recursos específicos.
| Política | Acesso |
|---|---|
default-src 'none' |
Não há acesso para tipos de recursos que não têm uma diretiva configurada. |
img-src * |
URL da imagem de qualquer origem. |
media-src https://example.com/ |
URL de vídeo ou áudio por HTTPS do domínio example.com. |
script-src *.example.com |
Execução de qualquer script de um subdomínio de example.com. |
style-src 'self' css.example.com |
Aplicação de qualquer estilo da origem do site ou do domínio css.example.com. |
Para configurar uma política de segurança de conteúdo:
No console do Apigee no Cloud, acesse a página Distribuição > Portais.
Clique no seu portal.
Clique em Configurações no menu de navegação.
Clique na guia Segurança.
Clique em Ativar a Política de Segurança de Conteúdo.
Configure a CSP ou deixe o padrão.
Clique em Salvar.
É possível restaurar a política de CSP padrão a qualquer momento clicando em Restaurar padrão.