Saltar al contenido principal Saltar al contenido complementario
Recursos de Qlik

Administrar la Content Security Policy

Qlik Cloud utiliza Content Security Policy (CSP) Nivel 2, el cual proporciona una capa adicional de seguridad que ayuda a detectar y mitigar ciertos tipos de ataques, incluidos Cross Site Scripting (XSS) y ataques de inyección de datos. Estos ataques se utilizan para todo, desde el robo de datos hasta la destrucción del sitio y la distribución de malware.

En Qlik Cloud, CSP permite a los administradores de un espacio empresarial inquilino controlar los recursos que se pueden cargar en una extensión o en una plantilla para una página determinada. Con algunas excepciones, las políticas implican principalmente especificar orígenes de servidor y puntos de conexión de script. Si una extensión o plantilla contiene enlaces a recursos externos, estos deben tener sus orígenes incluidos en la lista de permitidos de la Content Security Policy.

Para administrar políticas de seguridad de contenido en Consola de gestión, navegue hasta la página Content Security Policy.

Para más información, vea MDN Web Docs: Política de seguridad de contenido (CSP).

Vista general de Content Security Policy

En la página Content Security Policy de la Consola de gestión, se muestran las propiedades descritas a continuación:

Propiedades de la Consola de gestión
Propiedad Descripción

Nombre

Nombre de la entrada de la política de seguridad de contenido.

Origen

Origen del dominio para agregar a la lista de permitidos.

Directiva

La directiva aplicable para el origen.

Actualizado por última vez

Muestra cuándo se actualizó la entrada por última vez.

Fecha de creación

Muestra cuándo se creó la entrada.

Directivas

Las directivas controlan ubicaciones desde las que se pueden cargar ciertos tipos de recursos. Las directivas descritas a continuación son compatibles con Qlik Sense Enterprise.

Directivas en Qlik Sense Enterprise
Directiva Descripción

child-src

Define las fuentes válidas para los trabajadores web y los contextos de navegación anidados cargados con elementos como <frame> y <iframe>.

Si desea regular contextos de navegación anidados y fijar normativas para trabajadores, utilice las directivas frame-src y worker-src, respectivamente.

form-action

Restringe las URL que se pueden usar como destino de los envíos de un formulario desde un contexto determinado.

media-src

Especifica fuentes válidas para cargar medios usando los elementos <audio>, <video> y <track>.

style-src

Especifica fuentes válidas para hojas de estilo.

connect-src

Restringe las URL que se pueden cargar mediante interfaces de script.

frame-src

Especifica fuentes válidas para contextos de navegación anidados que se cargan utilizando elementos como <frame> y <iframe>.
frame-ancestors Especifica fuentes válidas para insertar el recurso utilizando <frame>, <iframe>, <object>, <embed> y <applet>.

object-src

Especifica fuentes válidas para los elementos <object>, <embed> y <applet>.

Los elementos controlados por object-src quizás se consideren elementos HTML heredados de forma accidental y no estén recibiendo nuevas características estandarizadas (como el sandbox de atributos de seguridad o permitir <iframe>). Por lo tanto, se recomienda restringir esta directiva fetch (por ejemplo, establecer explícitamente object-src 'none' si es posible).

worker-src

Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker.

font-src

Especifica fuentes válidas para fuentes cargadas mediante @font-face.

image-src

Especifica fuentes válidas para imágenes e iconos de favoritos.

script-src

Especifica fuentes válidas para JavaScript.

Qlik Cloud Política de seguridad de contenido predeterminada

Qlik Cloud tiene un CSP predeterminado para todos los usuarios que incluye dominios que están en la lista segura. Por ejemplo, puede usar imágenes de los siguientes dominios sin necesidad de agregarlas a su propia política de seguridad de contenido. Las imágenes tomadas de otras fuentes deben tener sus dominios agregados a la política de seguridad de contenido.

Fuentes predeterminadas para imágenes y favicons en Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Para obtener una lista de otros dominios predeterminados disponibles para todos los usuarios de Qlik Cloud, vea Lista blanca de nombres de dominio y direcciones IP.

Consideraciones sobre entradas y longitud de encabezado de Content Security Policy

El número máximo de entradas de Content Security Policy permitidas por espacio empresarial es 256. Si recibe un mensaje de error por exceder el número de entradas de Content Security Policy permitidas, puede eliminar entradas redundantes de Content Security Policy y luego agregar su nueva entrada Content Security Policy.

La longitud máxima del encabezado de Content Security Policy es de 3,072 caracteres. Si recibe un mensaje de error por exceder el número de caracteres de encabezado de Content Security Policy al añadir una nueva entrada a la Content Security Policy, puede eliminar entradas de Content Security Policy redundantes y luego agregar su nueva entrada Content Security Policy.

El número máximo de caracteres permitidos en el valor predeterminado del encabezado CSP y el número máximo de entradas CSP permitidas por valor predeterminado del espacio empresarial están integrados de forma fija y no se pueden cambiar en Qlik Cloud.

Crear una entrada de Content Security Policy

Nota informativaSe permiten un máximo de 256 entradas de Content Security Policy por espacio empresarial.

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Añadir en la esquina superior derecha.

  2. En el cuadro de diálogo, asigne un nombre a Content Security Policy.

  3. Escriba la dirección del origen en uno de los siguientes formatos:

    • domain.com

    • *.domain.com

    Qlik Sense Aplica HTTPS.

  4. Seleccione la directiva aplicable para el origen.

    Nota informativaPuede agregar varias directivas.
  5. Haga clic en Añadir.
Nota informativaLos usuarios que estén utilizando el cliente cuando se crea o edita una Content Security Policy deben actualizar su navegador para que los cambios surtan efecto.

Editar una entrada de Content Security Policy

Haga lo siguiente:

  1. En la Consola de gestión, vaya a la sección Content Security Policy.
  2. Busque la entrada de CSP que desee editar, haga clic en Más y seleccione Editar.
  3. En el cuadro de diálogo, cambie las opciones de entrada CSP según lo necesite.
  4. Haga clic en Guardar.
Nota informativaLos usuarios que estén utilizando el cliente cuando se crea o edita una Content Security Policy deben actualizar su navegador para que los cambios surtan efecto.

Eliminar una entrada de Content Security Policy

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y seleccione la entrada CSP que desee eliminar y después haga clic en Eliminar.

    Nota informativaPuede eliminar varios elementos a la vez.
  2. Confirme que desea eliminar la entrada CSP.

Copiar el encabezado de Content Security Policy

Nota informativaSe permite un máximo de 6,144 caracteres en el encabezado de la Content Security Policy.

Haga lo siguiente:

  1. En Consola de gestión, vaya a la sección Content Security Policy y haga clic en Ver encabezado.
  2. En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
  3. Haga clic en Hecho.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.

Deje aquí sus comentarios