Vai al contenuto principale Passa a contenuto complementare

Gestione di Content Security Policy (CSP)

Controllare e gestire la Politica sulla sicurezza dei contenuti (CSP) in Qlik Cloud per migliorare la protezione contro gli attacchi come cross-site scripting (XSS) e iniezione dati.

Qlik Cloud utilizza Content Security Policy (CSP) di livello 2, che fornisce un livello supplementare di sicurezza che contribuisce a rilevare e mitigare determinati tipi di attacchi, tra cui gli attacchi XSS e di iniezione dati. Questi attacchi possono portare al furto di dati, al defacing dei siti e alla distribuzione di malware.

CSP consente agli amministratori tenant di controllare le risorse che un'estensione o un tema possono caricare per una data pagina. I criteri di norma coinvolgono la specifica delle origini del server e degli endpoint per gli script. Se un'estensione o un tema contengono richieste di risorse a risorse esterne, è necessario aggiungere le origini alla allowlist nella CSP.

Per ulteriori informazioni, vedere Doc Web MDN: Content Security Policy (CSP).

Direttive

Le direttive controllano le posizioni da cui è possibile caricare determinati tipi di risorse. Sono supportate le seguenti direttive:

Direttive
Direttiva Descrizione

child-src

Definisce le sorgenti valide per i web worker e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>.

Per un controllo più specifico, utilizzare frame-src e worker-src.

form-action

Limita gli URL che possono essere utilizzati come destinazione per l'invio da un determinato contesto.

media-src

Specifica le sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>.

style-src

Specifica le sorgenti valide per i fogli di stile.

connect-src

Limita gli URL che possono essere caricati tramite interfacce di script.

frame-src

Specifica le sorgenti valide per i contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>.
frame-ancestors Specifica sorgenti valide per incorporare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet>.

object-src

Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>.

Gli elementi controllati da object-src sono considerati elementi HTML legacy e non ricevono le nuove funzioni standardizzate, come gli attributi di sicurezza sandbox o allow per <iframe>. Si raccomanda di limitare questa direttiva di recupero, ad esempio, impostando in modo esplicito object-src 'none', se possibile.

worker-src

Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker.

font-src

Specifica sorgenti valide per i tipi di carattere caricati usando @font-face.

image-src

Specifica sorgenti valide di immagini e favicon.

script-src

Specifica sorgenti valide per JavaScript.

CSP predefinita di Qlik Cloud

Qlik Cloud ha una CSP predefinita che include i domini inseriti in un elenco sicuro. Ad esempio, è possibile utilizzare le immagini dei seguenti domini senza doverle aggiungere alla propria CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Per un elenco completo dei domini predefiniti, vedere Aggiunta di nomi di dominio e indirizzi IP all'elenco degli elementi consentiti.

Voci della CSP e limiti per le intestazioni

I valori per il numero massimo di voci CSP per tenant e il numero massimo di caratteri nell'intestazione CSP sono stabiliti per impostazione predefinita e non possono essere modificati.

  • Massimo di voci: fino a 256 voci CSP per tenant. Se si supera questo limite, rimuovere le voci ridondanti prima di aggiungerne di nuove.

  • Lunghezza delle intestazioni: l'intestazione CSP può essere lunga fino a 6.144 caratteri. Se si supera questo limite, rimuovere le voci ridondanti prima di aggiungerne di nuove.

Creazione di una voce della CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Content Security Policy.
  2. Fare clic su Aggiungi.
  3. Fornire un nome.

  4. Inserire l'origine in uno dei seguenti formati:

    • domain.com

    • *.domain.com

    Nota informaticaQlik Sense implementa HTTPS.
  5. Selezionare le direttive applicabili.

  6. Fare clic su Aggiungi.

Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.

Modifica di una voce della CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Content Security Policy.
  2. Individuare la voce CSP che si desidera modificare, fare clic su Altro, quindi selezionare Modifica.
  3. Modificare le opzioni CSP in base alle esigenze.
  4. Fare clic su Salva.

Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.

Eliminazione di una voce della CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Content Security Policy.

  2. Selezionare le voci CSP che si desidera rimuovere e fare clic su Elimina.

  3. Confermare l'eliminazione.

Visualizzazione e copia di un'intestazione della CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Content Security Policy.
  2. Fare clic su Visualizza intestazione.
  3. Nella finestra di dialogo, fare clic su Copia negli Appunti.
  4. Fare clic su Fine.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!