Microsoft voert in oktober 2026 een nieuwe Content Security Policy in voor Microsoft Entra ID. De maatregel moet cross-site scripting voorkomen.
Microsoft raadt organisaties af om browser-extensies of tools te gebruiken die code injecteren in de Entra ID sign-in-ervaring. Wie deze aanbeveling opvolgt, hoeft niets te doen. De ervaring blijft onveranderd.
Gebruik je wel tools die code injecteren? Dan moet je overstappen op alternatieven. Code- en script-injectie wordt straks niet meer ondersteund. Deze tools zullen stoppen met werken, hoewel gebruikers wel kunnen blijven inloggen.
Om de impact vooraf te bepalen, kunnen beheerders sign-in-flows doorlopen met de developer console open. Eventuele overtredingen verschijnen dan in rood. Microsoft benadrukt dat specifieke teams of personen eigen flows moeten testen, omdat overtredingen alleen zichtbaar zijn in hun eigen inlogpogingen.
Sterkere bescherming tegen aanvallen
Het techbedrijf gaat alleen scripts toestaan van vertrouwde Microsoft-domeinen tijdens het inloggen. Ongeautoriseerde of geïnjecteerde code krijgt geen kans om te draaien.
De nieuwe policy moet gebruikers beschermen tegen cross-site scripting (XSS). Bij dit soort aanvallen proberen kwaadwillenden kwaadaardige code in websites te plaatsen. Door alleen Microsoft-scripts toe te staan, worden deze risico’s grotendeels weggenomen.
De aanpassing geldt specifiek voor login.microsoftonline.com en treft alleen browser-gebaseerde sign-in-ervaringen. Microsoft Entra External ID ondervindt geen impact van de nieuwe policy.