Accéder au contenu principal Passer au contenu complémentaire

Gestion de Content Security Policy (CSP)

Contrôlez et gérez votre Stratégie de sécurité de contenu (Content Security Policy ou CSP) dans Qlik Cloud pour renforcer la protection contre les attaques telles que l'injection de données et les attaques de type Cross Site Scripting (XSS).

Qlik Cloud utilise Content Security Policy (CSP) Niveau 2, qui offre une couche de sécurité supplémentaire qui aide à détecter et atténuer certains types d'attaque, dont les attaques par Cross Site Scripting (XSS) et injection de données. Ces attaques peuvent conduire à des vols de données, à la défiguration de sites et à la diffusion de logiciels malveillants.

CSP permet aux administrateurs de clients de contrôler les ressources qu'une extension ou un thème peut charger pour une page donnée. Les stratégies incluent généralement la spécification des origines du serveur et des points de terminaison du script. Si une extension ou un thème contient des demandes de ressources menant à des ressources externes, ces origines doivent être ajoutées à la liste verte de la CSP.

Pour plus d'informations, consultez MDN Web Docs : Content Security Policy (CSP).

Directives

Les directives contrôlent les emplacements depuis lesquels certains types de ressource peuvent être chargés. Les directives suivantes sont supportées :

Directives
Directive Description

child-src

Définit les sources valides pour les Web Workers et les contextes de navigation imbriqués chargés à l'aide d'éléments tels que <frame> et <iframe>.

Utilisez frame-src et worker-src pour un contrôle plus spécifique.

form-action

Limite les URL pouvant être utilisés comme cible de soumissions à partir d'un contexte donné.

media-src

Détermine les sources valides pour le chargement de fichiers multimédias utilisant des éléments <audio>, <video> et <track>.

style-src

Détermine les sources valides des feuilles de style.

connect-src

Limite les URL pouvant être chargées à l'aide d'interfaces de script.

frame-src

Définit les sources valides pour les contextes de navigation imbriqués utilisant des éléments tels que <frame> et <iframe>.
frame-ancestors Spécifie les sources valides pour incorporer la ressource via <frame>, <iframe>, <object>, <embed> et <applet>.

object-src

Détermine les sources valides pour les éléments <object>, <embed> et <applet>.

Les éléments contrôlés par object-src sont considérés comme d'anciens éléments HTML et ne sont plus enrichis de nouvelles fonctionnalités (par exemple, des attributs de sécurité sandbox ou allow pour <iframe>). Il est recommandé de restreindre cette directive Fetch, par exemple, en définissant explicitement object-src 'none', si possible.

worker-src

Définit les sources valides pour les scripts Worker, SharedWorker ou ServiceWorker .

font-src

Définit les sources valides pour les polices chargées via @font-face.

image-src

Définit les sources valides des images et icônes.

script-src

Définit les sources valides pour JavaScript.

CSP par défaut Qlik Cloud

Qlik Cloud a une CSP par défaut qui inclut des domaines figurant dans une liste verte. Par exemple, vous pouvez utiliser des images provenant des domaines suivants sans les ajouter à votre CSP :

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Pour une liste complète des domaines par défaut, consultez Placement des noms de domaine et des adresses IP en liste verte.

Entrées CSP et limites d'en-tête

Les valeurs du nombre maximal d'entrées CSP par client et du nombre maximal de caractères dans l'en-tête CSP sont intégrées et ne peuvent pas être modifiées.

  • Entrées maximales : jusqu'à 256 entrées CSP par client. Si vous dépassez cette limite, supprimez des entrées redondantes avant d'en ajouter de nouvelles.

  • Longueur d'en-tête : l'en-tête CSP peut comporter jusqu'à 6 144 caractères. Si vous dépassez cette limite, supprimez des entrées redondantes avant d'en ajouter de nouvelles.

Création d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Content Security Policy.
  2. Cliquez sur Ajouter.
  3. Fournissez un nom.

  4. Saisissez l'origine à l'un des formats suivants :

    • domain.com

    • *.domain.com

    Note InformationsQlik Sense Applique HTTPS.
  5. Sélectionnez les directives applicables.

  6. Cliquez sur Ajouter.

Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.

Modification d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Content Security Policy.
  2. Recherchez l'entrée CSP à modifier, cliquez sur Plus et sélectionnez Modifier.
  3. Modifiez les options CSP selon les besoins.
  4. Cliquez sur Enregistrer.

Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.

Suppression d'une entrée CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Content Security Policy.

  2. Sélectionnez les entrées CSP à supprimer et cliquez sur Supprimer.

  3. Confirmez la suppression.

Affichage et copie de l'en-tête CSP

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Content Security Policy.
  2. Cliquez sur Afficher l'en-tête.
  3. Dans la boîte de dialogue, cliquez sur Copier dans le Presse-papiers.
  4. Cliquez sur Terminer.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !