Saltar al contenido principal

Administrar la política Content Security Policy

Las ediciones SaaS de Qlik Sense utilizan el Nivel 2 de Content Security Policy (CSP), que proporciona una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos ataques de scripts de sitios (XSS) y ataques de inyección de datos. Estos ataques se utilizan para todo, desde el robo de datos hasta la destrucción del sitio y la distribución de malware.

En Qlik Sense Enterprise, CSP permite a los administradores de espacios empresariales de inquilinos controlar los recursos que se pueden cargar en una extensión o en una plantilla para una página determinada. Con algunas excepciones, las políticas implican principalmente especificar orígenes de servidor y puntos de conexión de script. Si una extensión o plantilla contiene enlaces a recursos externos, estos deben tener sus orígenes incluidos en la lista de permitidos de la Content Security Policy.

Para administrar políticas de seguridad de contenido en Consola de gestión, navegue hasta la página Content Security Policy.

Para más información, vea MDN Web Docs: Política de seguridad de contenido (CSP).

Vista general de Content Security Policy

En la página Content Security Policy de la Consola de gestión, se muestran las propiedades descritas a continuación:

Propiedades de la Consola de gestión
Propiedad Descripción

Nombre

Nombre de la entrada de la política de seguridad de contenido.

Origen

Origen del dominio que se desea incluir en la lista de permitidos.

Directiva

La directiva aplicable para el origen.

Actualizado por última vez

Muestra cuándo se actualizó la entrada por última vez.

Fecha de creación

Muestra cuándo se creó la entrada.

Directivas

Las directivas controlan ubicaciones desde las que se pueden cargar ciertos tipos de recursos. Las directivas descritas a continuación son compatibles con Qlik Sense Enterprise.

Directivas en Qlik Sense Enterprise
Directiva Descripción

child-src

Define las fuentes válidas para los trabajadores web y los contextos de navegación anidados cargados con elementos como <frame> y <iframe>.

Si desea regular contextos de navegación anidados y fijar normativas para trabajadores, utilice las directivas frame-src y worker-src, respectivamente.

form-action

Restringe las URL que se pueden usar como destino de los envíos de un formulario desde un contexto determinado.

media-src

Especifica fuentes válidas para cargar medios usando los elementos <audio>, <video> y <track>.

style-src

Especifica fuentes válidas para hojas de estilo.

connect-src

Restringe las URL que se pueden cargar mediante interfaces de script.

frame-src

Especifica fuentes válidas para contextos de navegación anidados que se cargan utilizando elementos como <frame> y <iframe>.
frame-ancestors Especifica fuentes válidas para insertar el recurso utilizando <frame>, <iframe>, <object>, <embed> y <applet>.

object-src

Especifica fuentes válidas para los elementos <object>, <embed> y <applet>.

Los elementos controlados por object-src quizás se consideren elementos HTML heredados de forma accidental y no estén recibiendo nuevas características estandarizadas (como el sandbox de atributos de seguridad o permitir <iframe>). Por lo tanto, se recomienda restringir esta directiva fetch (por ejemplo, establecer explícitamente object-src 'none' si es posible).

worker-src

Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker.

font-src

Especifica fuentes válidas para fuentes cargadas mediante @font-face.

image-src

Especifica fuentes válidas para imágenes e iconos de favoritos.

script-src

Especifica fuentes válidas para JavaScript.

Consideraciones sobre entradas y longitud de encabezado de Content Security Policy

El número máximo de entradas de Content Security Policy permitidas por espacio empresarial es 256. Si recibe un mensaje de error por exceder el número de entradas de Content Security Policy permitidas, puede eliminar entradas redundantes de Content Security Policy y luego agregar su nueva entrada Content Security Policy.

La longitud máxima del encabezado de Content Security Policy es de 3,072 caracteres. Si recibe un mensaje de error por exceder el número de caracteres de encabezado de Content Security Policy al añadir una nueva entrada a la Content Security Policy, puede eliminar entradas de Content Security Policy redundantes y luego agregar su nueva entrada Content Security Policy.

El número máximo de caracteres permitidos en el valor predeterminado del encabezado CSP y el número máximo de entradas CSP permitidas por valor predeterminado del espacio empresarial están integrados de forma fija y no se pueden cambiar en Qlik Sense Enterprise SaaS.

Crear una entrada de Content Security Policy

Nota informativaSe permiten un máximo de 256 entradas de Content Security Policy por espacio empresarial.

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Añadir en la esquina superior derecha.
  2. En el cuadro de diálogo, asigne un nombre a Content Security Policy.

  3. Escriba la dirección del origen en el siguiente formato: domain.com.

    Qlik Sense Aplica HTTPS.

  4. Seleccione la directiva aplicable para el origen.

    Nota informativaPuede agregar varias directivas.
  5. Haga clic en Añadir.
Nota informativaLos usuarios que estén utilizando el cliente cuando se crea o edita una Content Security Policy deben actualizar su navegador para que los cambios surtan efecto.

Editar una entrada de Content Security Policy

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y seleccione la entrada CSP que desee editar y después haga clic en Editar.
  2. En el cuadro de diálogo, modifique las opciones de la entrada CSP a su gusto.
  3. Haga clic en Guardar.
Nota informativaLos usuarios que estén utilizando el cliente cuando se crea o edita una Content Security Policy deben actualizar su navegador para que los cambios surtan efecto.

Eliminar una entrada de Content Security Policy

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y seleccione la entrada CSP que desee eliminar y después haga clic en Eliminar.

    Nota informativaPuede eliminar varios elementos a la vez.
  2. Confirme que desea eliminar la entrada CSP.

Copiar el encabezado de Content Security Policy

Nota informativaSe permite un máximo de 6,144 caracteres en el encabezado de la política de seguridad de contenidos (Content Security Policy).

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Ver encabezado.
  2. En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
  3. Haga clic en Hecho.