Saltar al contenido principal Saltar al contenido complementario

Gestión de la Content Security Policy (CSP)

Controle y administre su Política de Seguridad de Contenidos (CSP) en Qlik Cloud para mejorar la protección contra ataques como Cross Site Scripting (XSS) e inyección de datos.

Qlik Cloud utiliza Content Security Policy (CSP) Nivel 2, que proporciona una capa extra de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos XSS e inyección de datos. Estos ataques pueden provocar el robo de datos, la desfiguración de sitios web y la distribución de malware.

CSP permite a los administradores de un espacio empresarial inquilino controlar los recursos que una extensión o una plantilla de estilo pueden cargar en una página determinada. Las políticas suelen englobar la especificación de los orígenes del servidor y los puntos de conexión de los scripts. Si una extensión o plantilla contiene solicitudes a recursos externos, estos orígenes deben añadirse a la lista de permitidos en la CSP.

Para más información, consulte MDN Web Docs: Content Security Policy (CSP).

Directivas

Las directivas controlan las ubicaciones desde las que se pueden cargar determinados tipos de recursos. Se admiten las siguientes directivas:

Directivas
Directiva Descripción

child-src

Define fuentes validas para trabajadores web y contextos de navegación anidados cargados usando elementos como <frame> y <iframe>.

Utilice frame-src y worker-src para un control más específico.

form-action

Restringe las URL que pueden utilizarse como objetivo de envíos desde un contexto determinado.

media-src

Especifica fuentes válidas para cargar archivos multimedia utilizando los elementos <audio>, <video> y <track>.

style-src

Especifica fuentes válidas para las hojas de estilo.

connect-src

Restringe las URL que se pueden cargar usando interfaces de script.

frame-src

Especifica fuentes válidas para contextos de exploración anidados utilizando elementos como <frame> y <iframe>.
frame-ancestors Especifica fuentes válidas para incrustar el recurso utilizando <frame>, <iframe>, <object>, <embed> y <applet>.

object-src

Especifica fuentes válidas para los elementos <object>, <embed> y <applet>.

Los elementos controlados por object-src se consideran elementos HTML heredados y no reciben nuevas funciones normalizadas, como los atributos de seguridad sandbox o allow para <iframe>. Se recomienda restringir esta directiva de obtención, por ejemplo, configurando explícitamente object-src 'none' si es posible.

worker-src

Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker.

font-src

Especifica fuentes válidas para fuentes cargadas mediante @font-face.

image-src

Especifica fuentes válidas para imágenes e iconos de favoritos.

script-src

Especifica fuentes válidas para JavaScript.

Política de seguridad de contenidos CSP de Qlik Cloud predeterminada

Qlik Cloud tiene una CSP por defecto que incluye los dominios de la lista segura. Por ejemplo, puede usar imágenes de los siguientes dominios sin añadirlas a su CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Para obtener una lista completa de dominios predeterminados, consulte Lista blanca de nombres de dominio y direcciones IP.

Entradas de CSP y límites de cabecera

Los valores de número máximo de entradas CSP por espacio empresarial inquilino y número máximo de caracteres en la cabecera CSP vienen incorporados y no pueden modificarse.

  • Máximo de entradas: hasta 256 entradas CSP por espacio empresarial inquilino. Si lo supera, elimine las entradas redundantes antes de añadir otras nuevas.

  • Longitud de las cabeceras: la cabecera CSP puede tener una longitud de hasta 6.144 caracteres. Si supera este límite, elimine las entradas redundantes antes de añadir otras nuevas.

Crear una entrada de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Content Security Policy.
  2. Haga clic en Añadir.
  3. Indique un nombre.

  4. Escriba el origen en uno de los siguientes formatos:

    • domain.com

    • *.dominio.com

    Nota informativaQlik Sense aplica HTTPS.
  5. Seleccione las directivas aplicables.

  6. Haga clic en Añadir.

Los usuarios deben actualizar su navegador para que los cambios surtan efecto.

Editar una entrada de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Content Security Policy.
  2. Busque la entrada de CSP que desee editar, haga clic en Más y seleccione Editar.
  3. Cambie las opciones de CSP según sea necesario.
  4. Haga clic en Guardar.

Los usuarios deben actualizar su navegador para que los cambios surtan efecto.

Eliminar una entrada de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Content Security Policy.

  2. Seleccione las entradas de CSP que desee eliminar y haga clic en Eliminado.

  3. Confirme la eliminación.

Ver y copiar la cabecera de CSP

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Content Security Policy.
  2. Haga clic en Ver cabecera.
  3. En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
  4. Haga clic en Hecho.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.