Microsoft Entra ID 的内容安全策略概述

内容安全策略（CSP）是浏览器安全标头，仅允许受信任的脚本和资源加载。 Microsoft Entra ID 强制在登录页上强制实施 CSP 作为主动措施，以阻止来自外部源的未经授权的脚本，并降低因跨站点脚本（XSS）等脚本注入攻击而引发的漏洞风险。

Microsoft建议不要使用将代码注入到 Microsoft Entra 登录体验中的浏览器扩展或工具。 如果遵循此建议，你的体验将保持不变，无需采取进一步作。

如果使用将代码注入到 Microsoft Entra 登录页的工具或浏览器扩展，请切换到在发布此更改之前不注入代码的替代工具。

有关准备 CSP 强制实施的详细信息，请参阅 如何为 CSP 强制实施做好准备。

脚本或代码注入的风险

在未经授权的情况下，恶意脚本在用户的浏览器中运行时，会发生脚本或代码注入。 此漏洞可能导致：

• 数据盗窃：攻击者可以窃取敏感信息，例如凭据或令牌。
• 会话劫持：注入的脚本可以控制活动会话。
• 恶意软件传送：恶意代码可以在用户设备上安装有害软件。
• 失去信任：泄露的登录页面会损害用户信心和品牌声誉。

XSS 是最常见的注入攻击之一。 它使攻击者能够在用户的浏览器中运行恶意脚本，从而窃取凭据、劫持会话和泄露敏感数据。

CSP 通过限制可在浏览器中执行的脚本，进一步帮助抵御这些攻击。 通过强制实施 CSP，Microsoft Entra ID 仅允许来自受信任Microsoft域的脚本在身份验证期间运行。

CSP 是一种深度防御

CSP 增加了针对脚本注入攻击（如 XSS）的重要防御层。 如今，Microsoft Entra 和现代浏览器已经实施机制，以防止恶意脚本作为第一层和主要防御层注入网站。 尽管存在这些机制，但如果通过用户安装的恶意浏览器扩展或零日漏洞注入脚本，CSP 仍会阻止该脚本的执行。 CSP 通过仅允许列出受信任的脚本 nonces 和 origins，并默认阻止其他所有内容来实现此目的。 这种深层防御方法加强了现有的安全措施。

CSP 强制范围和关键详细信息

CSP 强制实施进一步强化了 Microsoft Entra 登录体验的安全性，只允许脚本从受信任的Microsoft域运行。 这样可以最大程度地减少未经授权的外部脚本注入的机会。 我们的分析显示，大多数违规来自外部浏览器扩展脚本或注入到第三方工具的脚本。

以下是您需要了解的关于 CSP 强制实施的范围和关键详细信息的内容：

• 标头强制范围：CSP 强制执行仅适用于基于浏览器的登录体验。login.partner.microsoftonline.cn 其他域和非浏览程序身份验证流不受影响。
• Microsoft身份验证库（MSAL）和 API 身份验证：与 Microsoft Entra 安全令牌服务（STS）API 交互的基于 MSAL 的身份验证流仍然不受影响，因为强制仅限于浏览器登录 URL。
• Microsoft Entra 外部 ID 和自定义域：使用自定义域或 CIAM 域进行登录的外部 ID 客户不会受到影响。

具有 CSP 冲突的非Microsoft工具

某些第三方工具可能会将脚本注入登录页，这可能会导致 CSP 冲突。 当强制实施 login.partner.microsoftonline.cnCSP 时，将阻止这些脚本执行。 用户仍能够正常登录，但这可能会中断某些登录或监视工作流。

使用依赖注入脚本的工具的客户应直接与供应商合作，以识别和实施符合 CSP 要求的修补程序。

如何准备实施 CSP

提前评估登录体验。 删除或迁移将脚本注入到 Microsoft Entra 登录页的浏览器扩展和工具。 如果你的组织依赖于此类工具，请在推出之前与供应商合作采用合规的替代方案。

提前测试登录流，以识别和解决违规行为，尽量减少中断，并保持用户体验无缝。 使用下面的指示识别您租户中的具体影响。

• 步骤 1：通过打开开发控制台的登录流程来识别任何违规行为。

• 步骤 2：查看有关以红色显示的冲突的信息。 如果特定团队或人员导致违规，则它仅显示在其流程中。 为了确保准确性，请全面评估组织中的不同登录方案。 下面是违规的示例：

  

CSP 的此更新增加了额外的保护层，方法是阻止未经授权的脚本，进一步帮助保护组织免受不断演变的安全威胁。 若要确保顺利推出，请提前彻底测试登录流。 这有助于尽早捕获和解决任何问题，使用户保持受保护状态，并且登录体验保持无缝。