Vai al contenuto principale Passa a contenuto complementare
Risorse Qlik
Caricamento ricerca di SearchUnify Per assistenza con il prodotto, contattare il Supporto Qlik.
Portale cliente Qlik
Caricamento ricerca di SearchUnify Per assistenza con il prodotto, contattare il Supporto Qlik.
Portale cliente Qlik

Gestione dei criteri di sicurezza dei contenuti (CSP)

Controlla e gestisci i tuoi Criteri di sicurezza dei contenuti (CSP) in Qlik Cloud per ridurre il rischio di minacce alla sicurezza come cross-site scripting (XSS) e attacchi di iniezione di dati.

Qlik Cloud utilizza i Criteri di sicurezza dei contenuti (CSP) Livello 2. CSP fornisce un ulteriore livello di sicurezza limitando le risorse esterne che possono essere caricate da applicazioni, estensioni e temi. Limitando le origini consentite e i tipi di risorse, CSP aiuta a prevenire l'esecuzione di codice dannoso, il furto di dati, il defacement del sito e la distribuzione di malware.

Gli amministratori con le autorizzazioni richieste possono utilizzare CSP per controllare quali risorse esterne estensioni e temi sono autorizzati a caricare. Se un'estensione o un tema richiedono risorse da origini esterne, queste origini devono essere aggiunte esplicitamente alla allowlist CSP.

Per ulteriori informazioni su CSP, vedere Doc Web MDN: Politica sulla sicurezza dei contenuti (CSP).

Autorizzazioni richieste

Per gestire le voci dei Criteri di sicurezza dei contenuti, è necessario disporre di uno dei seguenti:

  • Il ruolo Tenant Admin

  • Un ruolo personalizzato che include l'autorizzazione Admin CSP

Direttive

Le direttive definiscono quali sorgenti sono consentite per tipi specifici di risorse. Sono supportate le seguenti direttive:

CSP direttive
Direttiva Descrizione

child-src

Definisce le sorgenti valide per i web worker e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>. Per un controllo più specifico, utilizzare frame-src e worker-src.

connect-src

Limita gli URL che possono essere caricati tramite interfacce di script.

font-src

Specifica sorgenti valide per i tipi di carattere caricati usando @font-face.

form-action

Limita gli URL che possono essere utilizzati come destinazione per l'invio da un determinato contesto.
frame-ancestors Specifica sorgenti valide per incorporare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet> elementi.

frame-src

Specifica le sorgenti valide per i contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>.

img-src

Specifica sorgenti valide di immagini e favicon.

media-src

Specifica le sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>.

object-src

Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>.

Gli elementi controllati da object-src sono considerati elementi HTML legacy e non ricevono nuove funzionalità standardizzate, come gli attributi di sicurezza sandbox o allow per <iframe>. Si raccomanda di limitare questa direttiva di recupero ove possibile, ad esempio impostando object-src 'none'.

script-src

Specifica sorgenti valide per JavaScript.

style-src

Specifica le sorgenti valide per i fogli di stile.

worker-src

Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker.

CSP predefinita di Qlik Cloud

Qlik Cloud include una Content Security Policy predefinita con un set di domini consentiti. Le risorse da questi domini possono essere utilizzate senza aggiungere voci CSP.

Esempi includono:

  • *.qlikcloud.com – servizi e API principali di Qlik Cloud

  • cdn.pendo.io – contenuto delle notifiche

  • gravatar.com – icone del profilo utente

Per un elenco completo, vedere Aggiunta di domini e indirizzi IP a un elenco di elementi consentiti.

Voci della CSP e limiti per le intestazioni

I seguenti limiti sono integrati e non possono essere modificati. Se si raggiunge uno dei due limiti, rimuovere le voci CSP ridondanti o inutilizzate.

  • Numero massimo di voci CSP: 256 voci per tenant

  • Lunghezza massima dell'intestazione CSP: 6.144 caratteri

Creazione di una voce CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Criteri di sicurezza dei contenuti.
  2. Fare clic su Aggiungi.

  3. Fornire un nome.

  4. Inserire l'origine in uno dei seguenti formati:

    • domain.com

    • *.domain.com

    Nota informaticaQlik Sense impone l'utilizzo di HTTPS per le voci CSP.

  5. Selezionare le direttive applicabili.

  6. Fare clic su Aggiungi.

Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.

Modifica di una voce CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Criteri di sicurezza dei contenuti.
  2. Individuare la voce CSP che si desidera modificare, fare clic su Altro, quindi selezionare Modifica.
  3. Modificare le opzioni CSP in base alle esigenze.
  4. Fare clic su Salva.

Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.

Eliminazione di una voce CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Criteri di sicurezza dei contenuti.

  2. Selezionare le voci CSP che si desidera rimuovere e fare clic su Elimina.

  3. Confermare l'eliminazione.

Visualizzazione e copia di un'intestazione della CSP

Procedere come indicato di seguito:

  1. Nel centro attività Amministrazione, andare a Criteri di sicurezza dei contenuti.
  2. Fare clic su Visualizza intestazione.
  3. Nella finestra di dialogo, fare clic su Copia negli Appunti.
  4. Fare clic su Fine.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – ti pregiamo di farcelo sapere!

Lascia qui il tuo feedback