Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

Verwalten von Content Security Policy

Steuern und verwalten Sie die Content Security Policy (CSP) in Qlik Cloud, um besseren Schutz gegen Angriffe wie Cross Site Scripting (XSS) und Dateninjektion zu gewährleisten.

Qlik Cloud verwendet Content Security Policy (CSP) Stufe 2. Dies bietet eine zusätzliche Sicherheitsebene, die dazu beiträgt, bestimmte Arten von Angriffen zu erkennen und zu bekämpfen, darunter XSS und Dateninjektionsangriffe. Diese Angriffe können zu Datendiebstahl, Verunstaltung von Websites und Verteilen von Malware führen.

CSP ermöglicht Mandantenadministratoren die Steuerung der Ressourcen, die von einer Erweiterung oder einer Formatvorlage für eine bestimmte Seite geladen werden können. Bei Richtlinien geht es meist um das Angeben von Serverherkünften und Skriptendpunkten. Wenn eine Erweiterung oder eine Formatvorlage Ressourcenanforderungen an externe Ressourcen enthält, müssen diese Herkünfte der Zulassungsliste in der CSP hinzugefügt werden.

Weitere Informationen finden Sie unter MDN Web Docs: Content Security Policy (CSP).

Directives (Richtlinien)

Directives steuern die Speicherorte, von denen bestimmte Ressourcentypen geladen werden können. Die folgenden Directives werden unterstützt:

Directives (Richtlinien)
Directive (Richtlinie) Beschreibung

child-src

Definiert gültige Quellen für Web-Workers und geschachtelte Browserkontexte, die anhand von Elementen wie <frame> und <iframe> geladen werden.

Verwenden Sie frame-src und worker-src für spezifischere Kontrolle.

form-action

Beschränkt die URLs, die als Ziel für Sendevorgänge aus einem bestimmten Kontext verwendet werden können.

media-src

Gibt gültige Quellen für das Laden von Medien anhand der Elemente <audio>, <video> und <track> an.

style-src

Gibt gültige Quellen für Formatvorlagen an.

connect-src

Beschränkt die URLs, die über Skriptschnittstellen geladen werden können.

frame-src

Gibt gültige Quellen für geschachtelte Browserkontexte an, wobei Elemente wie <frame> und <iframe> verwendet werden.
frame-ancestors Gibt gültige Quellen für das Einbetten der Ressource unter Verwendung von <frame>, <iframe>, <object>, <embed> und <applet> an.

object-src

Gibt gültige Quellen für die Elemente <object>, <embed> und <applet> an.

Von object-src gesteuerte Elemente werden als veraltete HTML-Elemente betrachtet und erhalten keine neuen standardisierten Funktionen wie die Sicherheitsattribute sandbox oder allow für <iframe>. Es wird empfohlen, diese „fetch-directive“ zu beschränken, indem z. B. explizit object-src 'none' festgelegt wird.

worker-src

Gibt gültige Quellen für Worker-, SharedWorker- oder ServiceWorker-Skripte an.

font-src

Gibt gültige Quellen für Schriftarten an, die mit @font-face geladen werden.

image-src

Gibt gültige Quellen für Bilder und Favicons an.

script-src

Gibt gültige Quellen für JavaScript an.

Qlik Cloud Standard-CSP

Qlik Cloud verfügt über eine Standard-CSP, die Domänen auf der Liste sicherer Adressen umfasst. Beispielsweise können Sie Bilder der folgenden Domänen verwenden, ohne sie der CSP hinzufügen zu müssen.

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Eine vollständige Liste der Standarddomänen finden Sie unter Erstellen von Zulassungslisten für Domänennamen und IP-Adressen.

CSP-Einträge und Kopfzeilenbeschränkungen

Die Werte für die maximale Anzahl CSP-Einträge pro Mandant und die maximale Anzahl Zeichen im CSP-Header sind vordefiniert und können nicht geändert werden.

  • Maximale Anzahl Einträge: bis zu 256 CSP-Einträge pro Mandant. Wenn Sie diese Anzahl überschreiten, löschen Sie nicht benötigte Einträge, bevor Sie neue hinzufügen.

  • Header-Länge: Der CSP-Header kann bis zu 6.144 Zeichen lang sein. Wenn Sie dieses Limit überschreiten, löschen Sie nicht benötigte Einträge, bevor Sie neue hinzufügen.

Erstellen eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie einen Namen an.

  4. Geben Sie die Herkunft in einem der folgenden Formate ein:

    • domain.com

    • *.domain.com

    InformationshinweisQlik Sense erzwingt HTTPS.

  5. Wählen Sie die anwendbaren Richtlinien aus.

  6. Klicken Sie auf Hinzufügen.

Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.

Bearbeiten eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
  2. Suchen Sie den CSP-Eintrag, den Sie bearbeiten möchten, klicken Sie auf Mehr und wählen Sie Bearbeiten aus.
  3. Ändern Sie die CSP-Optionen nach Bedarf.
  4. Klicken Sie auf Speichern.

Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.

Löschen eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.

  2. Wählen Sie die CSP-Einträge aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

  3. Bestätigen Sie das Löschen.

Anzeigen und Kopieren der CSP-Kopfzeile

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
  2. Klicken Sie auf Header anzeigen.
  3. Klicken Sie im Dialogfeld auf In Zwischenablage kopieren.
  4. Klicken Sie auf Erledigt.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab