Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Verwalten von Content Security Policy

Qlik Cloud verwendet Content Security Policy (CSP) Stufe 2. Dies bietet eine zusätzliche Sicherheitsebene, die dazu beiträgt, bestimmte Arten von Angriffen zu erkennen und zu bekämpfen, darunter Cross Site Scripting (XSS) und Dateninjektionsangriffe. Diese Angriffe dienen verschiedenen Zwecken, vom Datendiebstahl über die Zerstörung von Websites bis zur Verteilung von Malware.

In Qlik Cloud ermöglicht CSP Mandantenadministratoren die Steuerung der Ressourcen, die von einer Erweiterung oder einer Formatvorlage für eine bestimmte Seite geladen werden können. Mit wenigen Ausnahmen geht es bei Richtlinien meist um das Angeben von Serverherkünften und Skriptendpunkten. Wenn eine Erweiterung oder eine Formatvorlage Ressourcenanforderungen für externe Ressourcen enthält, muss deren Herkunft der Zulassungsliste in der Content Security Policy hinzugefügt werden.

Um Content Security Policies in der Verwaltungskonsole zu verwalten, navigieren Sie zur Seite Content Security Policy.

Weitere Informationen finden Sie unter MDN Web Docs: Content Security Policy (CSP).

Content Security Policy - Überblick

Auf der Seite Content Security Policy der Verwaltungskonsole werden die unten beschriebenen Eigenschaften angezeigt.

Eigenschaften der Verwaltungskonsole
Eigenschaft Beschreibung

Name

Name des Eintrags der Content Security Policy.

Herkunft

Herkunft der Domäne, die der Zulassungsliste hinzugefügt wird.

Directive (Richtlinie)

Auf die Herkunft anwendbare Richtlinie.

Letzte Aktualisierung

Zeitpunkt, zu dem der Eintrag zuletzt aktualisiert wurde.

Erstellungsdatum

Zeitpunkt, zu dem der Eintrag erstellt wurde.

Directives (Richtlinien)

Directives steuern die Speicherorte, von denen bestimmte Ressourcentypen geladen werden können. Die unten beschriebenen Directives werden in Qlik Sense Enterprise unterstützt.

Directives (Richtlinien) in Qlik Sense Enterprise
Directive (Richtlinie) Beschreibung

child-src

Definiert die gültigen Quellen für Web-Workers und geschachtelte Browserkontexte, die anhand von Elementen wie <frame> und <iframe> geladen werden.

Wenn Sie geschachtelte Browserkontexte und Workers regulieren möchten, verwenden Sie die Directives frame-src bzw. worker-src.

form-action

Beschränkt die URLs, die als Ziel für die Formularsendung aus einem bestimmten Kontext verwendet werden können.

media-src

Gibt gültige Quellen für das Laden von Medien anhand der Elemente <audio>, <video> und <track> an.

style-src

Gibt gültige Quellen für Formatvorlagen an.

connect-src

Beschränkt die URLs, die über Skriptschnittstellen geladen werden.

frame-src

Gibt die gültigen Quellen für geschachtelte Browserkontexte an, die anhand von Elementen wie <frame> und <iframe> geladen werden.
frame-ancestors Gibt gültige Quellen für das Einbetten der Ressource unter Verwendung von <frame>, <iframe>, <object>, <embed> und <applet> an.

object-src

Gibt gültige Quellen für die Elemente <object>, <embed> und <applet> an.

Von object-src gesteuerte Elemente werden möglicherweise zufällig als veraltete HTML-Elemente betrachtet und erhalten keine neuen standardisierten Funktionen (wie die Sicherheitsattribut-Sandbox oder Zulässigkeit von <iframe>). Daher wird empfohlen, diese fetch-directive zu beschränken (indem z. B. explizit object-src 'none' festgelegt wird).

worker-src

Gibt gültige Quellen für Worker-, SharedWorker- oder ServiceWorker-Skripts an.

font-src

Gibt gültige Quellen für Schriftarten an, die mit @font-face geladen werden.

image-src

Gibt gültige Quellen für Bilder und Favicons an.

script-src

Gibt gültige Quellen für JavaScript an.

Standard-Inhaltssicherheitsrichtlinie für Qlik Cloud

Qlik Cloud verfügt über eine Standard-Inhaltssicherheitsrichtlinie, die alle Domänen auf der Liste sicherer Adressen umfasst. Beispielsweise können Sie Bilder der folgenden Domänen verwenden, ohne sie Ihrer eigenen Inhaltssicherheitsrichtlinie hinzufügen zu müssen. Bei Bildern aus anderen Quellen müssen die betreffenden Domänen zur Inhaltssicherheitsrichtlinie hinzugefügt werden.

Standardquellen für Bilder und Favicons in Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Eine Liste weiterer Standarddomänen, die für alle Qlik Cloud-Benutzer verfügbar sind, finden Sie unter Erstellen von Zulassungslisten für Domänennamen und IP-Adressen.

Längenbeschränkungen für Content Security Policy-Einträge und -Header

Die maximal zulässige Anzahl Content Security Policy-Einträge pro Mandant ist 256. Wenn Sie eine Fehlermeldung wegen Überschreitung der Anzahl der zulässigen Content Security Policy-Einträge erhalten, können Sie redundante Content Security Policy-Einträge entfernen und dann Ihren neuen Content Security Policy-Eintrag hinzufügen.

Die maximale Länge für den Content Security Policy-Header beträgt 3,072 Zeichen. Wenn Sie eine Fehlermeldung wegen Überschreitung der Content Security Policy-Headerlänge erhalten, wenn Sie einen neuen Content Security Policy-Eintrag hinzufügen, können Sie redundante Content Security Policy-Einträge entfernen und dann Ihren neuen Content Security Policy-Eintrag hinzufügen.

Der Standardwert für die maximale Anzahl zulässiger Zeichen im CSP-Header und der Standardwert für die maximale Anzahl zulässiger CSP-Einträge pro Mandant sind vorkonfiguriert und können in Qlik Cloud nicht geändert werden.

Erstellen eines Content Security Policy-Eintrags

InformationshinweisPro Mandant sind maximal 256 Content Security Policy-Einträge zulässig.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy und klicken Sie oben rechts auf Hinzufügen.
  2. Geben Sie der Content Security Policy im Dialogfeld einen Namen.

  3. Geben Sie die Adresse der Herkunft in einem der folgenden Formate ein:

    • domain.com

    • *.domain.com

    Qlik Sense erzwingt HTTPS.

  4. Wählen Sie die auf die Herkunft anwendbare Richtlinie aus.

    InformationshinweisSie können mehrere Richtlinien hinzufügen.
  5. Klicken Sie auf Hinzufügen.
InformationshinweisBenutzer, die den Client zum Zeitpunkt der Erstellung oder Bearbeitung einer Content Security Policy verwenden, müssen ihren Browser aktualisieren, damit die Änderungen wirksam werden.

Bearbeiten eines Content Security Policy-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy.
  2. Suchen Sie den CSP-Eintrag, den Sie bearbeiten möchten, klicken Sie auf Mehr und wählen Sie Bearbeiten aus.
  3. Ändern Sie im Dialogfeld die Optionen für den Eintrag CSP wie gewünscht.
  4. Klicken Sie auf Speichern.
InformationshinweisBenutzer, die den Client zum Zeitpunkt der Erstellung oder Bearbeitung einer Content Security Policy verwenden, müssen ihren Browser aktualisieren, damit die Änderungen wirksam werden.

Löschen eines Content Security Policy-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy, wählen Sie den CSP-Eintrag aus, den Sie entfernen möchten, und klicken Sie auf Löschen.

    InformationshinweisSie können mehrere Elemente auf einmal entfernen.
  2. Bestätigen Sie das Löschen des CSP-Eintrags.

Kopieren des Headers der Content Security Policy

InformationshinweisDer Content Security Policy-Header darf maximal 6,144 Zeichen enthalten.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy und klicken Sie auf Header anzeigen.
  2. Klicken Sie im Dialogfeld auf In Zwischenablage kopieren.
  3. Klicken Sie auf Erledigt.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!