Zu Hauptinhalt springen

Verwalten von Content Security Policy

SaaS-Editionen von Qlik Sense nutzen Content Security Policy (CSP) Stufe 2. Dies bietet eine zusätzliche Sicherheitsstufe, die dazu beiträgt, bestimmte Arten von Angriffen zu erkennen und zu bekämpfen, darunter Cross Site Scripting (XSS) und Data Injection-Angriffe. Diese Angriffe dienen verschiedenen Zwecken, vom Datendiebstahl über die Zerstörung von Websites bis zur Verteilung von Malware.

In Qlik Sense Enterprise ermöglicht CSP Mandantenadministratoren die Steuerung der Ressourcen, die von einer Erweiterung oder einer Formatvorlage für eine bestimmte Seite geladen werden können. Mit wenigen Ausnahmen geht es bei Richtlinien meist um das Angeben von Serverherkünften und Skriptendpunkten. Wenn eine Erweiterung oder Formatvorlage Ressourcenanforderungen für externe Ressourcen enthält, muss deren Herkunft auf der Zulassungsliste der Content Security Policy stehen.

Um Content Security Policies in der Verwaltungskonsole zu verwalten, navigieren Sie zur Seite Content Security Policy.

Weitere Informationen finden Sie unter MDN Web Docs: Content Security Policy (CSP).

Content Security Policy - Überblick

Auf der Seite Content Security Policy der Verwaltungskonsole werden die unten beschriebenen Eigenschaften angezeigt.

Eigenschaften der Verwaltungskonsole
Eigenschaft Beschreibung

Name

Name des Eintrags der Content Security Policy.

Herkunft

Herkunft der Domäne, die auf die Zulassungsliste gesetzt wird.

Directive (Richtlinie)

Auf die Herkunft anwendbare Richtlinie.

Letzte Aktualisierung

Zeitpunkt, zu dem der Eintrag zuletzt aktualisiert wurde.

Erstellungsdatum

Zeitpunkt, zu dem der Eintrag erstellt wurde.

Directives (Richtlinien)

Directives steuern die Speicherorte, von denen bestimmte Ressourcentypen geladen werden können. Die unten beschriebenen Directives werden in Qlik Sense Enterprise unterstützt.

Directives (Richtlinien) in Qlik Sense Enterprise
Directive (Richtlinie) Beschreibung

child-src

Definiert die gültigen Quellen für Web-Workers und geschachtelte Browserkontexte, die anhand von Elementen wie <frame> und <iframe> geladen werden.

Wenn Sie geschachtelte Browserkontexte und Workers regulieren möchten, verwenden Sie die Directives frame-src bzw. worker-src.

form-action

Beschränkt die URLs, die als Ziel für die Formularsendung aus einem bestimmten Kontext verwendet werden können.

media-src

Gibt gültige Quellen für das Laden von Medien anhand der Elemente <audio>, <video> und <track> an.

style-src

Gibt gültige Quellen für Formatvorlagen an.

connect-src

Beschränkt die URLs, die über Skriptschnittstellen geladen werden.

frame-src

Gibt die gültigen Quellen für geschachtelte Browserkontexte an, die anhand von Elementen wie <frame> und <iframe> geladen werden.
frame-ancestors Gibt gültige Quellen für das Einbetten der Ressource unter Verwendung von <frame>, <iframe>, <object>, <embed> und <applet> an.

object-src

Gibt gültige Quellen für die Elemente <object>, <embed> und <applet> an.

Von object-src gesteuerte Elemente werden möglicherweise zufällig als veraltete HTML-Elemente betrachtet und erhalten keine neuen standardisierten Funktionen (wie die Sicherheitsattribut-Sandbox oder Zulässigkeit von <iframe>). Daher wird empfohlen, diese fetch-directive zu beschränken (indem z. B. explizit object-src 'none' festgelegt wird).

worker-src

Gibt gültige Quellen für Worker-, SharedWorker- oder ServiceWorker-Skripts an.

font-src

Gibt gültige Quellen für Schriftarten an, die mit @font-face geladen werden.

image-src

Gibt gültige Quellen für Bilder und Favicons an.

script-src

Gibt gültige Quellen für JavaScript an.

Längenbeschränkungen für Content Security Policy-Einträge und -Header

Die maximal zulässige Anzahl Content Security Policy-Einträge pro Mandant ist 256. Wenn Sie eine Fehlermeldung wegen Überschreitung der Anzahl der zulässigen Content Security Policy-Einträge erhalten, können Sie redundante Content Security Policy-Einträge entfernen und dann Ihren neuen Content Security Policy-Eintrag hinzufügen.

Die maximale Länge für den Content Security Policy-Header beträgt 3,072 Zeichen. Wenn Sie eine Fehlermeldung wegen Überschreitung der Content Security Policy-Headerlänge erhalten, wenn Sie einen neuen Content Security Policy-Eintrag hinzufügen, können Sie redundante Content Security Policy-Einträge entfernen und dann Ihren neuen Content Security Policy-Eintrag hinzufügen.

Der Standardwert für die maximale Anzahl zulässiger Zeichen im CSP-Header und der Standardwert für die maximale Anzahl zulässiger CSP-Einträge pro Mandant sind vorkonfiguriert und können in Qlik Sense Enterprise SaaS nicht geändert werden.

Erstellen eines Content Security Policy-Eintrags

InformationshinweisPro Mandant sind maximal 256 Content Security Policy-Einträge zulässig.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy und klicken Sie oben rechts auf Hinzufügen.
  2. Geben Sie der Content Security Policy im Dialogfeld einen Namen.

  3. Geben Sie die Adresse der Herkunft in folgendem Format ein: domaene.com.

    Qlik Sense erzwingt HTTPS.

  4. Wählen Sie die auf die Herkunft anwendbare Richtlinie aus.

    InformationshinweisSie können mehrere Richtlinien hinzufügen.
  5. Klicken Sie auf Hinzufügen.
InformationshinweisBenutzer, die den Client zum Zeitpunkt der Erstellung oder Bearbeitung einer Content Security Policy verwenden, müssen ihren Browser aktualisieren, damit die Änderungen wirksam werden.

Bearbeiten eines Content Security Policy-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy, wählen Sie den CSP-Eintrag, den Sie bearbeiten möchten, und klicken Sie dann auf Bearbeiten.
  2. Ändern Sie im Dialogfeld die CSP-Eintragsoptionen wie gewünscht.
  3. Klicken Sie auf Speichern.
InformationshinweisBenutzer, die den Client zum Zeitpunkt der Erstellung oder Bearbeitung einer Content Security Policy verwenden, müssen ihren Browser aktualisieren, damit die Änderungen wirksam werden.

Löschen eines Content Security Policy-Eintrags

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy, wählen Sie den CSP-Eintrag aus, den Sie entfernen möchten, und klicken Sie auf Löschen.

    InformationshinweisSie können mehrere Elemente auf einmal entfernen.
  2. Bestätigen Sie das Löschen des CSP-Eintrags.

Kopieren des Headers der Content Security Policy

InformationshinweisDer Content Security Policy-Header darf maximal 6,144 Zeichen enthalten.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zum Abschnitt Content Security Policy und klicken Sie auf Header anzeigen.
  2. Klicken Sie im Dialogfeld auf In Zwischenablage kopieren.
  3. Klicken Sie auf Erledigt.