Verwalten von Content Security Policy (CSP)
Steuern und verwalten Sie die Content Security Policy (CSP) in Qlik Cloud, um besseren Schutz gegen Angriffe wie Cross Site Scripting (XSS) und Dateninjektion zu gewährleisten.
Qlik Cloud verwendet Content Security Policy (CSP) Stufe 2. Dies bietet eine zusätzliche Sicherheitsebene, die dazu beiträgt, bestimmte Arten von Angriffen zu erkennen und zu bekämpfen, darunter XSS und Dateninjektionsangriffe. Diese Angriffe können zu Datendiebstahl, Verunstaltung von Websites und Verteilen von Malware führen.
CSP ermöglicht Mandantenadministratoren die Steuerung der Ressourcen, die von einer Erweiterung oder einer Formatvorlage für eine bestimmte Seite geladen werden können. Bei Richtlinien geht es meist um das Angeben von Serverherkünften und Skriptendpunkten. Wenn eine Erweiterung oder eine Formatvorlage Ressourcenanforderungen an externe Ressourcen enthält, müssen diese Herkünfte der Zulassungsliste in der CSP hinzugefügt werden.
Weitere Informationen finden Sie unter MDN Web Docs: Content Security Policy (CSP).
Directives (Richtlinien)
Directives steuern die Speicherorte, von denen bestimmte Ressourcentypen geladen werden können. Die folgenden Directives werden unterstützt:
Directive (Richtlinie) | Beschreibung |
---|---|
child-src |
Definiert gültige Quellen für Web-Workers und geschachtelte Browserkontexte, die anhand von Elementen wie <frame> und <iframe> geladen werden. Verwenden Sie frame-src und worker-src für spezifischere Kontrolle. |
form-action |
Beschränkt die URLs, die als Ziel für Sendevorgänge aus einem bestimmten Kontext verwendet werden können. |
media-src |
Gibt gültige Quellen für das Laden von Medien anhand der Elemente <audio>, <video> und <track> an. |
style-src |
Gibt gültige Quellen für Formatvorlagen an. |
connect-src |
Beschränkt die URLs, die über Skriptschnittstellen geladen werden können. |
frame-src |
Gibt gültige Quellen für geschachtelte Browserkontexte an, wobei Elemente wie <frame> und <iframe> verwendet werden. |
frame-ancestors | Gibt gültige Quellen für das Einbetten der Ressource unter Verwendung von <frame>, <iframe>, <object>, <embed> und <applet> an. |
object-src |
Gibt gültige Quellen für die Elemente <object>, <embed> und <applet> an. Von object-src gesteuerte Elemente werden als veraltete HTML-Elemente betrachtet und erhalten keine neuen standardisierten Funktionen wie die Sicherheitsattribute sandbox oder allow für <iframe>. Es wird empfohlen, diese „fetch-directive“ zu beschränken, indem z. B. explizit object-src 'none' festgelegt wird. |
worker-src |
Gibt gültige Quellen für Worker-, SharedWorker- oder ServiceWorker-Skripte an. |
font-src |
Gibt gültige Quellen für Schriftarten an, die mit @font-face geladen werden. |
image-src |
Gibt gültige Quellen für Bilder und Favicons an. |
script-src |
Gibt gültige Quellen für JavaScript an. |
Qlik Cloud Standard-CSP
Qlik Cloud verfügt über eine Standard-CSP, die Domänen auf der Liste sicherer Adressen umfasst. Beispielsweise können Sie Bilder der folgenden Domänen verwenden, ohne sie der CSP hinzufügen zu müssen.
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Eine vollständige Liste der Standarddomänen finden Sie unter Erstellen von Zulassungslisten für Domänennamen und IP-Adressen.
CSP-Einträge und Kopfzeilenbeschränkungen
Die Werte für die maximale Anzahl CSP-Einträge pro Mandant und die maximale Anzahl Zeichen im CSP-Header sind vordefiniert und können nicht geändert werden.
-
Maximale Anzahl Einträge: bis zu 256 CSP-Einträge pro Mandant. Wenn Sie diese Anzahl überschreiten, löschen Sie nicht benötigte Einträge, bevor Sie neue hinzufügen.
-
Header-Länge: Der CSP-Header kann bis zu 6.144 Zeichen lang sein. Wenn Sie dieses Limit überschreiten, löschen Sie nicht benötigte Einträge, bevor Sie neue hinzufügen.
Erstellen eines CSP-Eintrags
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
- Klicken Sie auf Hinzufügen.
-
Geben Sie einen Namen an.
-
Geben Sie die Herkunft in einem der folgenden Formate ein:
-
domain.com
-
*.domain.com
InformationshinweisQlik Sense erzwingt HTTPS. -
-
Wählen Sie die anwendbaren Richtlinien aus.
- Klicken Sie auf Hinzufügen.
Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.
Bearbeiten eines CSP-Eintrags
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
- Suchen Sie den CSP-Eintrag, den Sie bearbeiten möchten, klicken Sie auf und wählen Sie Bearbeiten aus.
- Ändern Sie die CSP-Optionen nach Bedarf.
- Klicken Sie auf Speichern.
Die Benutzer müssen den Browser aktualisieren, damit die Änderungen wirksam werden.
Löschen eines CSP-Eintrags
Gehen Sie folgendermaßen vor:
-
Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
-
Wählen Sie die CSP-Einträge aus, die Sie entfernen möchten, und klicken Sie auf Löschen.
- Bestätigen Sie das Löschen.
Anzeigen und Kopieren der CSP-Kopfzeile
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Content Security Policy.
- Klicken Sie auf Header anzeigen.
- Klicken Sie im Dialogfeld auf In Zwischenablage kopieren.
- Klicken Sie auf Erledigt.