Linha RM

Atalhos

Páginas filhas
  • Nível de segurança nos Portais Educacionais

Versões comparadas

Versão antiga 27

changes.mady.by.user Wesley Magno De Oliveira Costa

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Wesley Magno De Oliveira Costa

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Aviso
Recurso disponível a partir da release 12.1.2510

1. VISÃO GERAL

Com o objetivo de aumentar o nível de segurança  segurança dos ambiente exposto ambientes expostos na internet para todos os portais educacionais sem instabilizar os recursos presentes atualmente nos mesmo. Terá a criação do arquivo "web.confg" mesmos, criaremos o arquivo configuração web (conforme imagem abaixo) para atender todos portais educacionais de forma geral.

Image Added

A instituição poderá realizar a configuração do dos headers da forma que desejar.   Para saber mais acesse Aumentar a segurança de sua aplicação

 

2. CONFIGURAÇÕES 

O  O arquivo "web.confg" será configuração web será criado na pasta "FrameHTML\Web\App\Edu" contendo conterá, nesse primeiro momento inicial , as regras padrões mínimas com valores do atributo Content Security Policy (CSP) para não colocar gerar instabilidade nos recursos presentes nos portais educacionais.

Esse arquivo será criado a partir da versão release 12.1.2510.

Desta forma, caso o arquivo não exista na pasta "FrameHTML\Web\App\Edu", o instalador irá criar o arquivo. Caso contrário, o mesmo não será criado novamente, ou modificado seja, será ajustado nesse primeiro momento.

Nesse arquivo terá as regras padrões do atributo Content Security Policy (CSP).

AtributoDescriçãoReferência
Content Security Policy (CSPA diretiva Content-Security-Policy (CSP) é um cabeçalho de segurança importante que ajuda a mitigar os riscos de ataques como XSS (Cross-Site Scripting) e outros tipos de ataques baseados em injeção de código. Ela permite que os desenvolvedores controlem quais recursos são carregados em uma página web e de onde eles podem ser carregados.Content Security Policy (CSP) - HTTP | MDN

...

Se o cliente tiver alguma regra presente no atributo Content Security Policy (CSP) no arquivo "web.confg" de um determinado portal do TOTVS Educacional. Será necessário ajuste nesse arquivo para que tais regras personalizadas não sejam afetadas.

...

Bloco de código
titleRegra padrão
<httpProtocol>
	<customHeaders>
		<remove name="Content-Security-Policy"/>
		<add name="Content-Security-Policy"
		     value="default-src * 'unsafe-inline' 'unsafe-eval' data: blob:;"/>
	</customHeaders>
</httpProtocol>
Aviso

Se o cliente tiver alguma regra presente no atributo "Content Security Policy (CSP)" do arquivo configuração web de um determinado portal do TOTVS Educacional, será necessário ajustar este arquivo para que tais regras personalizadas não sejam afetadas.

Uma sugestão é a inclusão da tag "<remove name="Content-Security-Policy" />", antes da linha do atributo "Content Security Policy (CSP)" para manter as regras personalizadas da instituição, customizações do cliente e url parametrizadas no sistema.

3.AUMENTAR O NÍVEL DE SEGURANÇA

Nessa seção é possível acessar as orientações para aumentar o nível de segurança dos portais listados abaixo conforme as documentações já existentes antes da criação da criação do arquivo configuração web citado nessa documentação. Deve ser avaliado as regras personalizadas da instituição, customizações do cliente, e url parametrizadas no sistema.