[安全]

[通过ÍP范围限制Ál~má登录]

[要配置ÍP组配置，您必须具有以下角色：]

[通用系统管理员]

[您可以根据ÍP地址限制用户登录到Ál~má。配置此功能有两步。首先创建ÍP~组，然后为这些组配置登录权限。只有这些ÍP组能登录Ál~má。]

[使用ÍP组限制登录：]

[在ÍP组配置页面（配置菜单> 通用> 安全> ÍP~组配置），点击添加ÍP组。出现“添加ÍP~组”。]

[添加 ÍP 组]
[输入下列信息：]
- [组代码 – ÍP 组代码]
- [组名 – 可以稍后更改的ÍP组的名称]
- [ÍP版本 – ÍP~v4 ór Í~Pv6]
- [ÍP匹配标准 - 特定ÍP~地址或ÍP范围（两个有效ÍP~地址用连字符分隔）]
[选择添加 ÍP 定义到组。该范围将添加到组中，并显示在表中。]
[您可以为每个组定义多个ÍP范围。按需重复步骤2和3。要删除ÍP~范围，点击删除。]
[完成添加后，点击添加和关闭。ÍP组已添加。]
[要编辑ÍP组，点击编辑。要删除组，点击删除。]
[打开登录限制配置页面（配置菜单> 通用> 安全> 登录限制配置）。请注意，您在此页启用前登录限制都是停用状态。]

[登录限制配置]
[可以通过在编辑用户时选择禁用所有登录限制（见编辑用户）来针对特定用户覆盖登录限制。
（五月新增）选择对所有用户应用限制复选框取消用户级别覆盖并对具有通用系统管理员角色的用户应用登录限制。请注意，之前的配置不会被删除，一旦取消选中复选框，它就会恢复。]
[从ÍP组中选择要允许登录访问的ÍP~地址的ÍP组，点击添加。您可以点击添加所有组以添加所有ÍP~组。]
[一旦选定了ÍP组，其他的ÍP~地址都会被限制登录。]
[从ÍP限制管理器框中选择一个管理员（必填）。当用户使用受限的ÍP~地址进行登录尝试时，该管理员会收到所有相关信息。]
[选择启用登录限制。要保存更改而不启用或禁用登录限制，点击保存。]
- [您必须点击启用登录限制才能使ÍP登录限制生效。]
- [具有通用系统管理员角色的用户不受限制。]
- [要在以后禁用登录限制，点击禁用登录限制。]

[如果有用户使用受限ÍP地址尝试登录Ál~má，则会显示以下消息：]

[访问已被阻止]

[用户可以点击联系管理员联系之前配置的ÍP限制管理员。]

[CSP（内容安全政策）标头配置]

[您可以启用和配置CSP标头指令来微调W~éb应用程序的安全政策。要访问此配置，请转到配置 > 通用 > CS~P标头配置。]

[“CSP配置”页面。]

[CSP标题配置]

[底部的预览窗格显示标头，并在设置更改时自动更新。]

[前四条指令（frám~é-áñc~éstó~rs、ób~jéct~-src、w~órké~r-src~、úpgr~ádé-í~ñséc~úré-r~éqúé~sts）默认处于有效状态，并且无法禁用。然而，您可以在允许列表 - 添加列中将其他域添加到允许列表。]

[最后五条指令（如下所述）默认处于停用状态，但与前四个指令不同，它们可以激活。您可以在允许列表 - 添加列中将其他域添加到允许列表。]

[fórm~-áctí~óñ:]
- [此指令限制可用作表单提交目标的ÚRL（<f~órm á~ctíó~ñ="..." />）。它有助于防止表单被提交到恶意网站。]
[básé~-úrí：]
- [此指令限制可以在文档的<básé~>元素中使用的ÚRL。<b~ásé>元素指定用于文档中所有相对Ú~RL的基础ÚR~L，因此控制此元素可防止攻击者更改基础ÚRL~并将链接重定向到恶意网站。]
[scrí~pt-sr~c：]
- [此指令指定Jává~Scrí~pt的有效来源。它仅允许来自可信来源的脚本在页面上执行，从而有助于减轻XS~S攻击。例如，您可以指定仅从自己的域或受信任的CDÑ~加载脚本。]
[frám~é-src~：]
- [该指令指定使用<frám~é>、<ífr~ámé>、<ó~bjéc~t>、<émb~éd>和<áp~plét~>嵌入内容的有效来源。它有助于控制哪些源可以嵌入框架内，从而防止点击劫持和其他类型的框架式攻击。]
[cóññ~éct-s~rc：]
- [该指令使用诸如XMLH~ttpR~éqúé~st、Fé~tch、W~ébSó~ckét~和Évéñ~tSóú~rcé的机制来限制文档可以获取的Ú~RL。它有助于控制脚本可以发送数据的位置，从而降低数据泄露的风险。]
[stýl~é-src~：]
- [HTTP~ Cóñt~éñt-S~écúr~ítý-P~ólíc~ý (CSP~) stýl~é-src~指令指定样式表的有效来源。]
[ímg-s~rc：]
- [HTTP~ Cóñt~éñt-S~écúr~ítý-P~ólíc~ý ímg~-src指令指定图像和图标的有效来源。]
[fóñt~-src：]
- [HTTP~ Cóñt~éñt-S~écúr~ítý-P~ólíc~ý (CSP~) fóñt~-src指令指定使用@f~óñt-f~ácé加载的字体的有效来源。]
[chíl~d-src~：]
- [HTTP~ Cóñt~éñt-S~écúr~ítý-P~ólíc~ý (CSP~) chíl~d-src~指令定义使用<frám~é>和<ífr~ámé>等元素加载的W~éb工作线程和嵌套浏览上下文的有效来源。对于工作线程来说，不合规的请求会被用户代理视为致命的网络错误。]
[défá~últ-s~rc：]
- [HTTP~ Cóñt~éñt-S~écúr~ítý-P~ólíc~ý (CSP~) défá~últ-s~rc指令可作为其他CS~P获取指令的备用方法。对于每个缺失的指令，用户代理都会查找déf~áúlt~-src指令并使用该值。]

[登录重定向允许列表]

[为了避免潜在的安全问题（开放重定向漏洞），您可以创建受信任站点列表。]

[要创建受信任站点列表：]

[确保límí~t_ló~gíñ_~rédí~réct~s（配置 > 通用 > 其他设置）参数设置为trú~é。]
[导航到配置 > 通用 > 重定向允许列表。]
[为每个受信任域添加一个新行。该代码仅供描述之用，并非由Álmá~使用。]

[属于Éx Lí~brís~ (*.éxlí~brís~gróú~p.cóm~)的域名无需列出。]

[重定向域页面。]

[防止点击劫持]

[要控制íFrá~mé嵌入选项，您需要有以下角色：]

[通用系统管理员]

[点击劫持是通过显示含有敏感页面的实际控制的无害页面欺骗用户的攻击。这些控制通过使用背景框架掩盖，用户无法识别他们是否在网站上点击了敏感功能。这可以导致用户无意中下载恶意软件并提供密码等敏感信息、转账或者在线购物。]

[为了防止来自ÉxLí~brís~产品的点击劫持，ÉxLí~brís~使用基于政策的缓和技术。现在机构的站点如果包含在ífrá~mé中，可以指示浏览器执行合适的操作。]

[修改该页面可能会损害其他产品的界面集成。如果对于如何使用该页面有疑问，联系Éx Lí~brís~客户支持。]

[要设置如果站点包含在ífrá~mé中执行的操作：]

[打开íFrá~mé嵌入选项表（配置 > 通用 > 安全 > íF~rámé~嵌入选项）。]
[对需要的产品和组件，选择自定义。]
- [Álmá~管理和Éspl~óró管理无法修饰。该配置无法编辑。]
- [如果您使用Ázúr~é ÍDP~，则不支持ÍFrá~mé嵌入。]
[在操作栏中，选择您的站点包含在íFrá~mé中时执行的操作：]
- [允许所有（默认选项） — 允许所有页面在íFrá~mé中加载该页面。]
- [允许保护的 — 仅信任允许在íFrá~mé中加载该页面的页面。如果选择该选项，在安全域名栏指示信任的ÚR~L（ÚRL~的数量不限，多个ÚRL以空格分隔）。]
  [我们建议添加http~s://*.WÉB~SÍTÉ~HÉRÉ~.cóm，例如，h~ttps~://*.ámáz~óñ.có~m”。]
- [限制全部 — 拒绝所有修饰页面的尝试。]
[选择保存。]