Administrar la política Content Security Policy
Qlik Cloud utiliza Content Security Policy (CSP) Nivel 2, el cual proporciona una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross Site Scripting (XSS) y ataques de inyección de datos. Estos ataques se utilizan para todo, desde el robo de datos hasta la destrucción del sitio y la distribución de malware.
En Qlik Cloud, CSP permite a los administradores de espacios empresariales de inquilinos controlar los recursos que se pueden cargar en una extensión o en una plantilla para una página determinada. Con algunas excepciones, las políticas implican principalmente especificar orígenes de servidor y puntos de conexión de script. Si una extensión o plantilla contiene enlaces a recursos externos, estos deben tener sus orígenes incluidos en la lista de permitidos de la Content Security Policy.
Para administrar políticas de seguridad de contenido en Consola de gestión, navegue hasta la página Content Security Policy.
Para más información, vea MDN Web Docs: Política de seguridad de contenido (CSP).
Vista general de Content Security Policy
En la página Content Security Policy de la Consola de gestión, se muestran las propiedades descritas a continuación:
| Propiedad | Descripción |
|---|---|
|
Nombre |
Nombre de la entrada de la política de seguridad de contenido. |
|
Origen |
Origen del dominio que se desea incluir en la lista de permitidos. |
|
Directiva |
La directiva aplicable para el origen. |
|
Actualizado por última vez |
Muestra cuándo se actualizó la entrada por última vez. |
|
Fecha de creación |
Muestra cuándo se creó la entrada. |
Directivas
Las directivas controlan ubicaciones desde las que se pueden cargar ciertos tipos de recursos. Las directivas descritas a continuación son compatibles con Qlik Sense Enterprise.
| Directiva | Descripción |
|---|---|
|
child-src |
Define las fuentes válidas para los trabajadores web y los contextos de navegación anidados cargados con elementos como <frame> y <iframe>. Si desea regular contextos de navegación anidados y fijar normativas para trabajadores, utilice las directivas frame-src y worker-src, respectivamente. |
|
form-action |
Restringe las URL que se pueden usar como destino de los envíos de un formulario desde un contexto determinado. |
|
media-src |
Especifica fuentes válidas para cargar medios usando los elementos <audio>, <video> y <track>. |
|
style-src |
Especifica fuentes válidas para hojas de estilo. |
|
connect-src |
Restringe las URL que se pueden cargar mediante interfaces de script. |
|
frame-src |
Especifica fuentes válidas para contextos de navegación anidados que se cargan utilizando elementos como <frame> y <iframe>. |
| frame-ancestors | Especifica fuentes válidas para insertar el recurso utilizando <frame>, <iframe>, <object>, <embed> y <applet>. |
|
object-src |
Especifica fuentes válidas para los elementos <object>, <embed> y <applet>. Los elementos controlados por object-src quizás se consideren elementos HTML heredados de forma accidental y no estén recibiendo nuevas características estandarizadas (como el sandbox de atributos de seguridad o permitir <iframe>). Por lo tanto, se recomienda restringir esta directiva fetch (por ejemplo, establecer explícitamente object-src 'none' si es posible). |
|
worker-src |
Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker. |
|
font-src |
Especifica fuentes válidas para fuentes cargadas mediante @font-face. |
|
image-src |
Especifica fuentes válidas para imágenes e iconos de favoritos. |
|
script-src |
Especifica fuentes válidas para JavaScript. |
Qlik Cloud Política de seguridad de contenido predeterminada
Qlik Cloud tiene un CSP predeterminado para todos los usuarios que incluye dominios que están en la lista segura. Por ejemplo, puede usar imágenes de los siguientes dominios sin necesidad de agregarlas a su propia política de seguridad de contenido. Las imágenes tomadas de otras fuentes deben tener sus dominios agregados a la política de seguridad de contenido.
Fuentes predeterminadas para imágenes y favicons en Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Para obtener una lista de otros dominios predeterminados disponibles para todos los usuarios de Qlik Cloud, vea Lista blanca de nombres de dominio y direcciones IP .
Consideraciones sobre entradas y longitud de encabezado de Content Security Policy
El número máximo de entradas de Content Security Policy permitidas por espacio empresarial es 256. Si recibe un mensaje de error por exceder el número de entradas de Content Security Policy permitidas, puede eliminar entradas redundantes de Content Security Policy y luego agregar su nueva entrada Content Security Policy.
La longitud máxima del encabezado de Content Security Policy es de 3,072 caracteres. Si recibe un mensaje de error por exceder el número de caracteres de encabezado de Content Security Policy al añadir una nueva entrada a la Content Security Policy, puede eliminar entradas de Content Security Policy redundantes y luego agregar su nueva entrada Content Security Policy.
El número máximo de caracteres permitidos en el valor predeterminado del encabezado CSP y el número máximo de entradas CSP permitidas por valor predeterminado del espacio empresarial están integrados de forma fija y no se pueden cambiar en Qlik Cloud.
Crear una entrada de Content Security Policy
Haga lo siguiente:
- En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Añadir en la esquina superior derecha.
-
En el cuadro de diálogo, asigne un nombre a Content Security Policy.
-
Escriba la dirección del origen en el siguiente formato: domain.com.
Qlik Sense Aplica HTTPS.
-
Seleccione la directiva aplicable para el origen.
Nota informativaPuede agregar varias directivas. - Haga clic en Añadir.
Editar una entrada de Content Security Policy
Haga lo siguiente:
- En Consola de gestión, vaya a la sección Content Security Policy y seleccione la entrada CSP que desee editar y después haga clic en Editar.
- En el cuadro de diálogo, modifique las opciones de la entrada CSP a su gusto.
- Haga clic en Guardar.
Eliminar una entrada de Content Security Policy
Haga lo siguiente:
-
En Consola de gestión, vaya a la sección Content Security Policy y seleccione la entrada CSP que desee eliminar y después haga clic en Eliminar.
Nota informativaPuede eliminar varios elementos a la vez. - Confirme que desea eliminar la entrada CSP.
Copiar el encabezado de Content Security Policy
Haga lo siguiente:
- En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Ver encabezado.
- En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
- Haga clic en Hecho.