Accéder au contenu principal

Gestion de Content Security Policy

Les éditions SaaS de Qlik Sense utilisent Content Security Policy (CSP) Level 2, qui offre une couche de sécurité supplémentaire qui aide à détecter et neutraliser certains types d'attaque, dont les attaques par Cross Site Scripting (XSS) et injection de données. Ces attaques sont utilisées à de nombreuses fins, du vol de données en passant par la transmission de logiciels malveillants jusqu'au défacement d'un site.

Dans Qlik Sense Enterprise, CSP, permet aux administrateurs de clients de contrôler les ressources qu'une extension ou un thème peut charger pour une page donnée. À quelques exceptions près, les stratégies incluent généralement la spécification des origines du serveur et des points de terminaison du script. Si une extension ou un thème contient des demandes de ressources menant à des ressources externes, l'origine de ces ressources doit figurer sur une liste verte dans la Content Security Policy.

Pour gérer les stratégies de sécurité de contenu dans Console de gestion, accédez à la page Content Security Policy.

Pour plus d'informations, voir MDN Web Docs: Content Security Policy (CSP).

Vue d'ensemble de Content Security Policy

Sur la page Content Security Policy de Console de gestion, les propriétés suivantes décrites ci-dessous sont affichées.

Propriétés de la Console de gestion
Propriété Description

Nom

Nom de l'entrée de la stratégie de sécurité du contenu.

Origine

Origine du domaine à inscrire sur la liste blanche.

Directive

Directive applicable à l'origine.

Dernière mise à jour

Date de la dernière mise à jour de l'entrée.

Date de création

Date de création de l'entrée.

Directives

Les directives contrôlent les emplacements depuis lesquels certains types de ressource peuvent être chargés. Les directives décrites ci-dessous sont prises en charge dans Qlik Sense Enterprise.

Directives dans Qlik Sense Enterprise
Directive Description

child-src

Définit les sources valides pour les Web Workers et les contextes de navigation imbriqués chargés à l'aide d'éléments tels que <frame> et <iframe>.

Si vous souhaitez réguler les contextes de navigation imbriqués et les Workers, utilisez les directives frame-src et worker-src, respectivement.

form-action

Limite les URL pouvant être utilisés comme la cible d'une soumission de formulaire à partir d'un contexte donné.

media-src

Détermine les sources valides pour le chargement de fichiers multimédias à l'aide des éléments <audio>, <video> et <track>.

style-src

Détermine les sources valides des feuilles de style.

connect-src

Limite les URL pouvant être chargés à l'aide d'interfaces de script.

frame-src

Définit les sources valides pour les contextes de navigation imbriqués chargés à l'aide d'éléments tels que <frame> et <iframe>.
frame-ancestors Spécifie les sources valides pour incorporer la ressource via <frame>, <iframe>, <object>, <embed> et <applet>.

object-src

Détermine les sources valides pour les éléments <object>, <embed> et <applet>.

Les éléments contrôlés par object-src peuvent être vus comme d'anciens éléments HTML et ne sont plus complétés par de nouvelles fonctionnalités (par exemple une sandbox d'attributs de sécurité ou autorisation pour <iframe>). Il est donc recommandé de restreindre cette directive Fetch (par exemple, en définissant clairement object-src 'none', si possible).

worker-src

Définit les sources valides pour les scripts Worker, SharedWorker ou ServiceWorker .

font-src

Définit les sources valides pour les polices chargées via @font-face.

image-src

Définit les sources valides des images et icônes.

script-src

Définit les sources valides pour JavaScript.

Considérations relatives à la longueur d'en-tête et des entrées Content Security Policy

Le nombre maximal d'entrées Content Security Policy autorisées par client est de 256. Si vous recevez un message d'erreur indiquant que le nombre d'entrées Content Security Policy autorisées a été dépassé, vous pouvez supprimer les entrées Content Security Policy redondantes et ajouter la nouvelle entrée Content Security Policy.

La longueur maximale de l'en-tête Content Security Policy est de 3 072 caractères. Si vous recevez un message d'erreur indiquant que l'en-tête Content Security Policy est trop long lorsque vous ajoutez une nouvelle entrée Content Security Policy, vous pouvez supprimer les entrées Content Security Policy et ajouter la nouvelle entrée Content Security Policy.

Le nombre maximal de caractères autorisés dans la valeur par défaut de l'en-tête CSP et le nombre maximal d'entrées CSP autorisées par valeur de client par défaut sont intégrés et ne peuvent pas être modifiés dans Qlik Sense Enterprise SaaS.

Création d'une entrée Content Security Policy

Note InformationsIl est autorisé un maximum de 256 entrées Content Security Policy par client.

Procédez comme suit :

  1. Dans Console de gestion, accédez à la section Content Security Policy et cliquez sur Ajouter dans le coin supérieur droit.
  2. Dans la boîte de dialogue, nommez Content Security Policy.

  3. Saisissez l'adresse d'origine au format suivant : domain.com.

    Qlik Sense Applique HTTPS.

  4. Sélectionnez la directive applicable à l'origine.

    Note InformationsVous pouvez ajouter plusieurs directives.
  5. Cliquez sur Ajouter.
Note InformationsLes utilisateurs qui utilisent le client lorsqu'une Content Security Policy est créée ou éditée doivent actualiser leur navigateur pour que les modifications prennent effet.

Édition d'une entrée Content Security Policy

Procédez comme suit :

  1. Dans Console de gestion, accédez à la section Content Security Policy et sélectionnez l'entrée CSP que vous souhaitez éditer, puis cliquez sur Éditer.
  2. Dans la boîte de dialogue, modifiez les options d'entrée CSP comme souhaité.
  3. Cliquez sur Enregistrer.
Note InformationsLes utilisateurs qui utilisent le client lorsqu'une Content Security Policy est créée ou éditée doivent actualiser leur navigateur pour que les modifications prennent effet.

Suppression d'une entrée Content Security Policy

Procédez comme suit :

  1. Dans Console de gestion, accédez à la section Content Security Policy et sélectionnez l'entrée CSP que vous souhaitez supprimer, puis cliquez sur Supprimer.

    Note InformationsVous pouvez supprimer plusieurs éléments à la fois.
  2. Confirmez la suppression de l'entrée CSP.

Copie de l'en-tête Content Security Policy

Note InformationsL'en-tête Content Security Policy doit contenir un maximum de 6 144 caractères.

Procédez comme suit :

  1. Dans Console de gestion, accédez à la section Content Security Policy et cliquez sur Afficher l'en-tête.
  2. Dans la boîte de dialogue, cliquez sur Copier dans le Presse-papiers.
  3. Cliquez sur Terminer.