Saltar al contenido principal Saltar al contenido complementario
Recursos de Qlik
Cargando la búsqueda de SearchUnify Si necesita ayuda con su producto, comuníquese con el Soporte de Qlik.
Portal de clientes de Qlik
Cargando la búsqueda de SearchUnify Si necesita ayuda con su producto, comuníquese con el Soporte de Qlik.
Portal de clientes de Qlik

Administrar la política de seguridad de contenidos (Content Security Policy, CSP)

Controle y administre su política de seguridad de contenidos (CSP) en Qlik Cloud para reducir el riesgo de amenazas de seguridad como el cross-site scripting (XSS) y los ataques de inyección de datos.

Qlik Cloud utiliza la política de seguridad de contenidos (CSP) de Nivel 2. CSP proporciona una capa adicional de seguridad al restringir qué recursos externos pueden ser cargados por aplicaciones, extensiones y temas. Al limitar los orígenes permitidos y los tipos de recursos, CSP ayuda a prevenir la ejecución de código malicioso, el robo de datos, la desfiguración de sitios y la distribución de malware.

Los administradores con los permisos necesarios pueden usar CSP para controlar qué recursos externos pueden cargar las extensiones y plantillas. Si una extensión o plantilla solicita recursos de orígenes externos, estos orígenes deben añadirse explícitamente a la lista de CSP permitidos.

Para más información sobre CSP, consulte MDN Web Docs: Content Security Policy (CSP).

Permisos requeridos

Para administrar las entradas de la Política de seguridad de contenidos, debe tener uno de los siguientes:

  • El rol de Administrador del espacio empresarial inquilino

  • Un rol personalizado que incluye el permiso Administrar CSP

Directivas

Las directivas definen qué fuentes están permitidas para tipos específicos de recursos. Se admiten las siguientes directivas:

Directivas CSP
Directiva Descripción

child-src

Define fuentes validas para trabajadores web y contextos de navegación anidados cargados usando elementos como <frame> y <iframe>. Utilice frame-src y worker-src para un control más específico.

connect-src

Restringe las URL que se pueden cargar usando interfaces de script.

font-src

Especifica fuentes válidas para fuentes cargadas mediante @font-face.

form-action

Restringe las URL que pueden utilizarse como destino de envíos desde un contexto determinado.
frame-ancestors Especifica fuentes válidas para incrustar el recurso utilizando elementos <frame>, <iframe>, <object>, <embed> y <applet>.

frame-src

Especifica fuentes válidas para contextos de exploración anidados utilizando elementos como <frame> y <iframe>.

img-src

Especifica fuentes válidas para imágenes e iconos de favoritos.

media-src

Especifica fuentes válidas para cargar archivos multimedia utilizando los elementos <audio>, <video> y <track>.

object-src

Especifica fuentes válidas para los elementos <object>, <embed> y <applet>.

Los elementos controlados por object-src se consideran elementos HTML heredados y no reciben nuevas funciones normalizadas, como los atributos de seguridad sandbox o allow para <iframe>. Se recomienda restringir esta directiva de obtención donde sea posible, por ejemplo, configurando object-src 'none'.

script-src

Especifica fuentes válidas para JavaScript.

style-src

Especifica fuentes válidas para hojas de estilo.

worker-src

Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker.

CSP predeterminada de Qlik Cloud

Qlik Cloud incluye una Política de Seguridad de Contenidos predeterminada con un conjunto de dominios permitidos. Los recursos de estos dominios se pueden usar sin añadir entradas CSP.

Ejemplos incluyen:

  • *.qlikcloud.com – servicios y API principales de Qlik Cloud

  • cdn.pendo.io – contenido de notificaciones

  • gravatar.com – iconos de perfil de usuario

Para acceder a una lista completa, vea Listas de elementos permitidos> dominios y direcciones IP permitidas.

Entradas en la política de seguridad de contenidos CSP y límites de cabecera

Los siguientes límites están integrados y no se pueden cambiar. Si alcanza cualquiera de los límites, elimine las entradas de CSP redundantes o no utilizadas.

  • Número máximo de entradas de CSP: 256 entradas por espacio empresarial inquilino

  • Longitud máxima del encabezado CSP: 6.144 caracteres

Crear una entrada en CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Política de seguridad de contenidos.
  2. Haga clic en Añadir.

  3. Indique un nombre.

  4. Escriba el origen en uno de los siguientes formatos:

    • domain.com

    • *.domain.com

    Nota informativaQlik Sense aplica HTTPS para las entradas de CSP.

  5. Seleccione las directivas aplicables.

  6. Haga clic en Añadir.

Los usuarios deben actualizar su navegador para que los cambios surtan efecto.

Editar una entrada de la página CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Política de seguridad de contenidos (Content Security Policy, CSP).
  2. Busque la entrada de CSP que desee editar, haga clic en Más y seleccione Editar.
  3. Cambie las opciones de CSP según sea necesario.
  4. Haga clic en Guardar.

Los usuarios deben actualizar su navegador para que los cambios surtan efecto.

Eliminar una entrada de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Política de seguridad de contenidos (Content Security Policy, CSP).

  2. Seleccione las entradas de CSP que desee eliminar y haga clic en Eliminar.

  3. Confirme la eliminación.

Visualizar y copiar la cabecera de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Política de seguridad de contenidos.
  2. Haga clic en Ver cabecera.
  3. En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
  4. Haga clic en Hecho.

¿Esta página le ha sido útil?

Si encuentra algún problema con esta página o su contenido (errores tipográficos, pasos que faltan o errores técnicos), no dude en ponerse en contacto con nosotros.

Deje aquí sus comentarios