Gestion de Content Security Policy (CSP)
Contrôlez et gérez votre Stratégie de sécurité de contenu (Content Security Policy ou CSP) dans Qlik Cloud pour renforcer la protection contre les attaques telles que l'injection de données et les attaques de type Cross Site Scripting (XSS).
Qlik Cloud utilise Content Security Policy (CSP) Niveau 2, qui offre une couche de sécurité supplémentaire qui aide à détecter et atténuer certains types d'attaque, dont les attaques par Cross Site Scripting (XSS) et injection de données. Ces attaques peuvent conduire à des vols de données, à la défiguration de sites et à la diffusion de logiciels malveillants.
CSP permet aux administrateurs de clients de contrôler les ressources qu'une extension ou un thème peut charger pour une page donnée. Les stratégies incluent généralement la spécification des origines du serveur et des points de terminaison du script. Si une extension ou un thème contient des demandes de ressources menant à des ressources externes, ces origines doivent être ajoutées à la liste verte de la CSP.
Pour plus d'informations, consultez MDN Web Docs : Content Security Policy (CSP).
Directives
Les directives contrôlent les emplacements depuis lesquels certains types de ressource peuvent être chargés. Les directives suivantes sont supportées :
Directive | Description |
---|---|
child-src |
Définit les sources valides pour les Web Workers et les contextes de navigation imbriqués chargés à l'aide d'éléments tels que <frame> et <iframe>. Utilisez frame-src et worker-src pour un contrôle plus spécifique. |
form-action |
Limite les URL pouvant être utilisés comme cible de soumissions à partir d'un contexte donné. |
media-src |
Détermine les sources valides pour le chargement de fichiers multimédias utilisant des éléments <audio>, <video> et <track>. |
style-src |
Détermine les sources valides des feuilles de style. |
connect-src |
Limite les URL pouvant être chargées à l'aide d'interfaces de script. |
frame-src |
Définit les sources valides pour les contextes de navigation imbriqués utilisant des éléments tels que <frame> et <iframe>. |
frame-ancestors | Spécifie les sources valides pour incorporer la ressource via <frame>, <iframe>, <object>, <embed> et <applet>. |
object-src |
Détermine les sources valides pour les éléments <object>, <embed> et <applet>. Les éléments contrôlés par object-src sont considérés comme d'anciens éléments HTML et ne sont plus enrichis de nouvelles fonctionnalités (par exemple, des attributs de sécurité sandbox ou allow pour <iframe>). Il est recommandé de restreindre cette directive Fetch, par exemple, en définissant explicitement object-src 'none', si possible. |
worker-src |
Définit les sources valides pour les scripts Worker, SharedWorker ou ServiceWorker . |
font-src |
Définit les sources valides pour les polices chargées via @font-face. |
image-src |
Définit les sources valides des images et icônes. |
script-src |
Définit les sources valides pour JavaScript. |
CSP par défaut Qlik Cloud
Qlik Cloud a une CSP par défaut qui inclut des domaines figurant dans une liste verte. Par exemple, vous pouvez utiliser des images provenant des domaines suivants sans les ajouter à votre CSP :
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Pour une liste complète des domaines par défaut, consultez Placement des noms de domaine et des adresses IP en liste verte.
Entrées CSP et limites d'en-tête
Les valeurs du nombre maximal d'entrées CSP par client et du nombre maximal de caractères dans l'en-tête CSP sont intégrées et ne peuvent pas être modifiées.
-
Entrées maximales : jusqu'à 256 entrées CSP par client. Si vous dépassez cette limite, supprimez des entrées redondantes avant d'en ajouter de nouvelles.
-
Longueur d'en-tête : l'en-tête CSP peut comporter jusqu'à 6 144 caractères. Si vous dépassez cette limite, supprimez des entrées redondantes avant d'en ajouter de nouvelles.
Création d'une entrée CSP
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Content Security Policy.
- Cliquez sur Ajouter.
-
Fournissez un nom.
-
Saisissez l'origine à l'un des formats suivants :
-
domain.com
-
*.domain.com
Note InformationsQlik Sense Applique HTTPS. -
-
Sélectionnez les directives applicables.
- Cliquez sur Ajouter.
Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.
Modification d'une entrée CSP
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Content Security Policy.
- Recherchez l'entrée CSP à modifier, cliquez sur et sélectionnez Modifier.
- Modifiez les options CSP selon les besoins.
- Cliquez sur Enregistrer.
Les utilisateurs doivent actualiser leur navigateur pour que les modifications prennent effet.
Suppression d'une entrée CSP
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Content Security Policy.
-
Sélectionnez les entrées CSP à supprimer et cliquez sur Supprimer.
- Confirmez la suppression.
Affichage et copie de l'en-tête CSP
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Content Security Policy.
- Cliquez sur Afficher l'en-tête.
- Dans la boîte de dialogue, cliquez sur Copier dans le Presse-papiers.
- Cliquez sur Terminer.