Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal

Gestion de la Stratégie de sécurité du contenu (Content Security Policy ou CSP)

Contrôlez et gérez votre Stratégie de sécurité du contenu (CSP) dans Qlik Cloud pour réduire le risque de menaces pour la sécurité telles que les attaques par injection de données et les attaques de type Cross Site Scripting (XSS).

Qlik Cloud utilise la Stratégie de sécurité du contenu (CSP) de niveau 2. CSP fournit une couche de sécurité supplémentaire en restreignant les ressources externes pouvant être chargées par les applications, les extensions et les thèmes. En limitant les origines et les types de ressources autorisés, CSP aide à prévenir l'exécution de code malveillant, le vol de données, la dégradation de site et la distribution de logiciels malveillants.

Les administrateurs disposant des autorisations requises peuvent utiliser CSP pour contrôler les ressources externes que les extensions et les thèmes sont autorisés à charger. Si une extension ou un thème demande des ressources d'origines externes, ces origines doivent être explicitement ajoutées à la liste verte de CSP.

Pour plus d'informations sur CSP, consultez MDN Web Docs: Content Security Policy (CSP).

Autorisations requises

Pour gérer les entrées de la Stratégie de sécurité du contenu, vous devez disposer de l'un des rôles suivants :

  • Le rôle Administrateur de clients

  • Un rôle personnalisé qui inclut l'autorisation Admin CSP

Directives

Les directives déterminent les sources autorisées pour des types de ressources spécifiques. Les directives suivantes sont supportées :

Directives CSP
Directive Description

child-src

Définit les sources valides pour les Web Workers et les contextes de navigation imbriqués chargés à l'aide d'éléments tels que <frame> et <iframe>. Utilisez frame-src et worker-src pour un contrôle plus spécifique.

connect-src

Limite les URL pouvant être chargées à l'aide d'interfaces de script.

font-src

Définit les sources valides pour les polices chargées via @font-face.

form-action

Limite les URL pouvant être utilisés comme cible de soumissions à partir d'un contexte donné.
frame-ancestors Spécifie les sources valides pour incorporer la ressource via les éléments <frame>, <iframe>, <object>, <embed> et <applet>.

frame-src

Définit les sources valides pour les contextes de navigation imbriqués utilisant des éléments tels que <frame> et <iframe>.

img-src

Définit les sources valides des images et icônes.

media-src

Détermine les sources valides pour le chargement de fichiers multimédias utilisant des éléments <audio>, <video> et <track>.

object-src

Détermine les sources valides pour les éléments <object>, <embed> et <applet>.

Les éléments contrôlés par object-src sont considérés comme d'anciens éléments HTML et ne sont plus enrichis de nouvelles fonctionnalités (par exemple, des attributs de sécurité sandbox ou allow pour <iframe>). Il est recommandé de restreindre cette directive Fetch, si possible, par exemple en définissant object-src 'none'.

script-src

Définit les sources valides pour JavaScript.

style-src

Détermine les sources valides des feuilles de style.

worker-src

Définit les sources valides pour les scripts Worker, SharedWorker ou ServiceWorker .

CSP par défaut de Qlik Cloud

Qlik Cloud inclut une Stratégie de sécurité du contenu par défaut avec un ensemble de domaines autorisés. Les ressources de ces domaines peuvent être utilisées sans avoir à ajouter d'entrées CSP.

Voici des exemples :

  • *.qlikcloud.com – API et Qlik Cloud Services essentiels

  • cdn.pendo.io – contenu de notification

  • gravatar.com – icônes de profil utilisateur

Pour une liste complète, consultez Ajout à la liste d'autorisation des domaines et des adresses IP.

Entrées CSP et limites d'en-tête

Les limites suivantes sont intégrées et ne peuvent pas être modifiées. Si vous atteignez l'une ou l'autre de ces limites, retirez les entrées CSP redondantes ou inutilisées.

  • Nombre maximal d'entrées CSP : 256 entrées par client

  • Longueur maximale d'en-tête CSP : 6 144 caractères

Création d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Stratégie de sécurité du contenu (Content Security Policy).
  2. Cliquez sur Ajouter.

  3. Fournissez un nom.

  4. Saisissez l'origine à l'un des formats suivants :

    • domain.com

    • *.domain.com

    Note InformationsQlik Sense applique HTTPS pour les CSP entrées.

  5. Sélectionnez les directives applicables.

  6. Cliquez sur Ajouter.

Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.

Édition d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Stratégie de sécurité du contenu (Content Security Policy).
  2. Recherchez l'entrée CSP à modifier, cliquez sur Plus et sélectionnez Modifier.
  3. Modifiez les options CSP selon les besoins.
  4. Cliquez sur Enregistrer.

Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.

Suppression d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Stratégie de sécurité du contenu (Content Security Policy).

  2. Sélectionnez les entrées CSP à supprimer et cliquez sur Supprimer.

  3. Confirmez la suppression.

Affichage et copie de l'en-tête CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Stratégie de sécurité du contenu (Content Security Policy).
  2. Cliquez sur Afficher l'en-tête.
  3. Dans la boîte de dialogue, cliquez sur Copier dans le Presse-papiers.
  4. Cliquez sur Terminer.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici