Vai al contenuto principale

Gestione dei Content Security Policy

Le edizioni SaaS di Qlik Sense utilizzano la Content Security Policy (CSP) di livello 2, che fornisce un livello supplementare di sicurezza che contribuisce a rilevare e mitigare determinati tipi di attacchi, tra cui gli attacchi Cross Site Scripting (XSS) e di iniezione dati. Questi attacchi vengono utilizzati per tutto, dal furto di dati al web site defacement fino alla distribuzione di malware.

In Qlik Sense Enterprise, la CSP consente agli amministratori di tenant di controllare le risorse che un'estensione o un tema può caricare per una data pagina. Con alcune eccezioni, i criteri devono coinvolgere la specifica delle origini server e degli endpoint script. Se un'estensione o un tema contiene collegamenti a risorse esterne, queste devono avere le proprie origini nella allowlist all'interno dei Content Security Policy.

Per gestire i criteri di sicurezza dei contenuti nella Console di gestione, navigare fino alla pagina Content Security Policy.

Per ulteriori informazioni, vedere MDN Web Docs: Content Security Policy (CSP).

Panoramica di Content Security Policy

Nella pagina Content Security Policy della Console di gestione, vengono mostrate le proprietà descritte in basso.

Proprietà Console di gestione
Proprietà Descrizione

Nome

Nome della voce dei criteri di sicurezza dei contenuti.

Origine

Origine dominio nella allowlist.

Direttiva

Direttiva applicabile per l'origine.

Ultimo aggiornamento

Quando è stato effettuato l'ultimo aggiornamento della voce.

Data creazione

Quando è stata creata la voce.

Direttive

Le direttive controllano le posizioni da cui è possibile caricare determinati tipi di risorse. Le direttive descritte in basso sono supportate in Qlik Sense Enterprise.

Direttive in Qlik Sense Enterprise
Direttiva Descrizione

child-src

Definisce le sorgenti valide per i lavoratori del web e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>.

Se si desidera regolare i contesti di navigazione nidificati e i lavoratori, utilizzare rispettivamente le direttive frame-src e worker-src.

form-action

Limita gli URL che possono essere utilizzati come target per l'invio di un modulo da un determinato contesto.

media-src

Specifica sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>.

style-src

Specifica le sorgenti valide per i fogli di stile.

connect-src

Limita gli URL che possono essere caricati tramite interfacce di script.

frame-src

Specifica le sorgenti valide per il caricamento di contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>.
frame-ancestors Specifica valori validi per integrare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet>.

object-src

Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>.

Gli elementi controllati da object-src sono forse casualmente considerati elementi HTML legacy e non ricevono le nuove caratteristiche standardizzate (come gli attributi di sicurezza sandbox né consentono <iframe>). Si raccomanda pertanto di limitare questa direttiva di recupero (ad esempio impostare esplicitamente object-src 'none' se possibile).

worker-src

Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker.

font-src

Specifica sorgenti valide per i tipi di carattere caricati usando @font-face.

image-src

Specifica sorgenti valide di immagini e favicon.

script-src

Specifica sorgenti valide per JavaScript.

Considerazioni sulla lunghezza delle voci e delle intestazioni Content Security Policy

Il numero massimo delle voci di Content Security Policy consentite per tenant è 256. Se si riceve un messaggio di errore per aver superato il numero di voci di Content Security Policy consentite, è possibile rimuovere le voci di Content Security Policy ridondanti per poi aggiungere la nuova voce di Content Security Policy.

La lunghezza massima dell'intestazione di Content Security Policy è 3,072 caratteri. Se si riceve un messaggio di errore per aver superato la lunghezza dell'intestazione di Content Security Policy durante l'aggiunta di una nuova voce di Content Security Policy, rimuovere le voci di Content Security Policy ridondanti e aggiungere la nuova voce di Content Security Policy.

Il numero massimo di caratteri consentiti nel valore predefinito dell'intestazione CSP e il numero massimo di voci CSP consentite per il valore predefinito del tenant sono stabiliti per impostazione predefinita e non possono essere modificati in Qlik Sense Enterprise SaaS.

Creazione di una voce Content Security Policy

Nota informaticaÈ consentito un massimo di 256 Content Security Policy voci per tenant.

Procedere come indicato di seguito:

  1. Nella Console di gestione, andare nella sezione Content Security Policy e fare clic su Aggiungi nell'angolo in alto a destra.
  2. Nella finestra di dialogo, fornire un nome al Content Security Policy.

  3. Digitare l'indirizzo dell'origine nel formato seguente: domain.com.

    Qlik Sense implementa HTTPS.

  4. Selezionare la direttiva applicabile per l'origine.

    Nota informaticaÈ possibile aggiungere svariate direttive.
  5. Fare clic su Aggiungi.
Nota informaticaGli utenti che utilizzano il client quando vengono creati o modificati Content Security Policy devono aggiornare il proprio browser affinché le modifiche abbiano effetto.

Modifica di una voce Content Security Policy

Procedere come indicato di seguito:

  1. Nella Console di gestione, passare alla sezione Content Security Policy e selezionare la voce CSP che si desidera modificare, quindi fare clic su Modifica.
  2. Nella finestra di dialogo modificare le opzioni relative alla voce CSP come desiderato.
  3. Fare clic su Salva.
Nota informaticaGli utenti che utilizzano il client quando vengono creati o modificati Content Security Policy devono aggiornare il proprio browser affinché le modifiche abbiano effetto.

Eliminazione di una voce Content Security Policy

Procedere come indicato di seguito:

  1. Nella Console di gestione, passare alla sezione Content Security Policy e selezionare la voce CSP che si desidera rimuovere, quindi fare clic su Elimina.

    Nota informaticaÈ possibile rimuovere più voci alla volta.
  2. Confermare che si desidera eliminare la voce CSP.

Copia dell'intestazione Content Security Policy

Nota informaticaNell'intestazione Content Security Policy è consentito un massimo di 6,144 caratteri.

Procedere come indicato di seguito:

  1. Nella Console di gestione, passare alla sezione Content Security Policy e fare clic su Visualizza intestazione.
  2. Nella finestra di dialogo, fare clic su Copia negli Appunti.
  3. Fare clic su Fine.