Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal
SearchUnify-Suche wird geladen Wenn Sie Unterstützung für Ihr Produkt benötigen, wenden Sie sich an den Qlik-Support.
Qlik Kundenportal

Verwalten der Inhaltssicherheitsrichtlinie (Content Security Policy, CSP)

Steuern und verwalten Sie die Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) in Qlik Cloud, um das Risiko von Sicherheitsbedrohungen wie Cross Site Scripting (XSS) und Dateninjektion zu senken.

Qlik Cloud verwendet Content Security Policy (CSP) Stufe 2. CSP bietet eine zusätzliche Sicherheitsebene, indem eingeschränkt wird, welche externen Ressourcen von Anwendungen, Erweiterungen und Formatvorlagen geladen werden können. Durch Begrenzung zulässiger Herkünfte und Ressourcentypen hilft CSP, die Ausführung von Schadcode, Datendiebstahl, Website-Verunstaltung und die Verbreitung von Malware zu verhindern.

Administratoren mit den erforderlichen Berechtigungen können CSP verwenden, um zu steuern, welche externen Ressourcen von Erweiterungen und Formatvorlagen geladen werden dürfen. Wenn eine Erweiterung oder eine Formatvorlage Ressourcen mit externer Herkunft anfordert, muss diese Herkunft der Zulassungsliste in der CSP explizit hinzugefügt werden.

Weitere Informationen zu CSP finden Sie unter MDN Web Docs: Content Security Policy (CSP).

Erforderliche Berechtigungen

Um Content Security Policy-Einträge zu verwalten, benötigen Sie eine der folgenden Rollen:

  • Die Mandantenadministrator-Rolle

  • Eine benutzerdefinierte Rolle, die die Berechtigung Admin CSP umfasst

Directives (Richtlinien)

Directives (Richtlinien) definieren, welche Quellen für bestimmte Ressourcentypen zulässig sind. Die folgenden Directives werden unterstützt:

CSP-Directives (Richtlinien)
Directive (Richtlinie) Beschreibung

child-src

Definiert gültige Quellen für Web-Workers und geschachtelte Browserkontexte, die anhand von Elementen wie <frame> und <iframe> geladen werden. Verwenden Sie frame-src und worker-src für spezifischere Kontrolle.

connect-src

Beschränkt die URLs, die über Skriptschnittstellen geladen werden können.

font-src

Gibt gültige Quellen für Schriftarten an, die mit @font-face geladen werden.

form-action

Beschränkt die URLs, die als Ziel für Sendevorgänge aus einem bestimmten Kontext verwendet werden können.
frame-ancestors Gibt gültige Quellen für das Einbetten der Ressource unter Verwendung der Elemente <frame>, <iframe>, <object>, <embed> und <applet> an.

frame-src

Gibt gültige Quellen für geschachtelte Browserkontexte an, wobei Elemente wie <frame> und <iframe> verwendet werden.

img-src

Gibt gültige Quellen für Bilder und Favicons an.

media-src

Gibt gültige Quellen für das Laden von Medien anhand der Elemente <audio>, <video> und <track> an.

object-src

Gibt gültige Quellen für die Elemente <object>, <embed> und <applet> an.

Von object-src gesteuerte Elemente werden als veraltete HTML-Elemente betrachtet und erhalten keine neuen standardisierten Funktionen wie die Sicherheitsattribute sandbox oder allow für <iframe>. Es wird empfohlen, diese „fetch-directive“ nach Möglichkeit zu beschränken, indem z. B. object-src 'none' festgelegt wird.

script-src

Gibt gültige Quellen für JavaScript an.

style-src

Gibt gültige Quellen für Formatvorlagen an.

worker-src

Gibt gültige Quellen für Worker-, SharedWorker- oder ServiceWorker-Skripts an.

Qlik Cloud Standard-CSP

Qlik Cloud enthält eine standardmäßige Content Security Policy mit einer Reihe von zugelassenen Domänen. Ressourcen aus diesen Domänen können verwendet werden, ohne dass CSP-Einträge hinzugefügt werden müssen.

Beispiele sind:

  • *.qlikcloud.com – zentrale Qlik Cloud Dienste und APIs

  • cdn.pendo.io – Benachrichtigungsinhalte

  • gravatar.com – Benutzerprofilsymbole

Unter Domänen und IP-Adressen auf die Zulassungsliste setzen finden Sie eine vollständige Liste.

CSP-Einträge und Kopfzeilenbeschränkungen

Die folgenden Grenzwerte sind fest und können nicht geändert werden. Wenn Sie einen der Grenzwerte erreichen, entfernen Sie redundante oder ungenutzte CSP-Einträge.

  • Maximale Anzahl CSP-Einträge: bis zu 256 Einträge pro Mandant

  • Maximale CSP-Header-Länge: 6.144 Zeichen

Erstellen eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Administration zu Inhaltssicherheitsrichtlinie (Content Security Policy, CSP).
  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie einen Namen an.

  4. Geben Sie die Herkunft in einem der folgenden Formate ein:

    • domain.com

    • *.domain.com

    InformationshinweisQlik Sense erzwingt HTTPS für CSP-Einträge.

  5. Wählen Sie die anwendbaren Richtlinien aus.

  6. Klicken Sie auf Hinzufügen.

Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.

Bearbeiten eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Administration zu Inhaltssicherheitsrichtlinie (Content Security Policy, CSP).
  2. Suchen Sie den CSP-Eintrag, den Sie bearbeiten möchten, klicken Sie auf Mehr und wählen Sie Bearbeiten aus.
  3. Ändern Sie die CSP-Optionen nach Bedarf.
  4. Klicken Sie auf Speichern.

Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.

Löschen eines CSP-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Administration zu Inhaltssicherheitsrichtlinie (Content Security Policy, CSP).

  2. Wählen Sie die CSP-Einträge aus, die Sie entfernen möchten, und klicken Sie auf Löschen.

  3. Bestätigen Sie das Löschen.

Anzeigen und Kopieren der CSP-Kopfzeile

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter Administration zu Inhaltssicherheitsrichtlinie (Content Security Policy, CSP).
  2. Klicken Sie auf Header anzeigen.
  3. Klicken Sie im Dialogfeld auf In Zwischenablage kopieren.
  4. Klicken Sie auf Erledigt.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!

Geben Sie hier Ihr Feedback ab