Gestione di Content Security Policy (CSP)
Controllare e gestire la Politica sulla sicurezza dei contenuti (CSP) in Qlik Cloud per migliorare la protezione contro gli attacchi come cross-site scripting (XSS) e iniezione dati.
Qlik Cloud utilizza Content Security Policy (CSP) di livello 2, che fornisce un livello supplementare di sicurezza che contribuisce a rilevare e mitigare determinati tipi di attacchi, tra cui gli attacchi XSS e di iniezione dati. Questi attacchi possono portare al furto di dati, al defacing dei siti e alla distribuzione di malware.
CSP consente agli amministratori tenant di controllare le risorse che un'estensione o un tema possono caricare per una data pagina. I criteri di norma coinvolgono la specifica delle origini del server e degli endpoint per gli script. Se un'estensione o un tema contengono richieste di risorse a risorse esterne, è necessario aggiungere le origini alla allowlist nella CSP.
Per ulteriori informazioni, vedere Doc Web MDN: Content Security Policy (CSP).
Direttive
Le direttive controllano le posizioni da cui è possibile caricare determinati tipi di risorse. Sono supportate le seguenti direttive:
Direttiva | Descrizione |
---|---|
child-src |
Definisce le sorgenti valide per i web worker e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>. Per un controllo più specifico, utilizzare frame-src e worker-src. |
form-action |
Limita gli URL che possono essere utilizzati come destinazione per l'invio da un determinato contesto. |
media-src |
Specifica le sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>. |
style-src |
Specifica le sorgenti valide per i fogli di stile. |
connect-src |
Limita gli URL che possono essere caricati tramite interfacce di script. |
frame-src |
Specifica le sorgenti valide per i contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>. |
frame-ancestors | Specifica sorgenti valide per incorporare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet>. |
object-src |
Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>. Gli elementi controllati da object-src sono considerati elementi HTML legacy e non ricevono le nuove funzioni standardizzate, come gli attributi di sicurezza sandbox o allow per <iframe>. Si raccomanda di limitare questa direttiva di recupero, ad esempio, impostando in modo esplicito object-src 'none', se possibile. |
worker-src |
Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker. |
font-src |
Specifica sorgenti valide per i tipi di carattere caricati usando @font-face. |
image-src |
Specifica sorgenti valide di immagini e favicon. |
script-src |
Specifica sorgenti valide per JavaScript. |
CSP predefinita di Qlik Cloud
Qlik Cloud ha una CSP predefinita che include i domini inseriti in un elenco sicuro. Ad esempio, è possibile utilizzare le immagini dei seguenti domini senza doverle aggiungere alla propria CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Per un elenco completo dei domini predefiniti, vedere Aggiunta di nomi di dominio e indirizzi IP all'elenco degli elementi consentiti.
Voci della CSP e limiti per le intestazioni
I valori per il numero massimo di voci CSP per tenant e il numero massimo di caratteri nell'intestazione CSP sono stabiliti per impostazione predefinita e non possono essere modificati.
-
Massimo di voci: fino a 256 voci CSP per tenant. Se si supera questo limite, rimuovere le voci ridondanti prima di aggiungerne di nuove.
-
Lunghezza delle intestazioni: l'intestazione CSP può essere lunga fino a 6.144 caratteri. Se si supera questo limite, rimuovere le voci ridondanti prima di aggiungerne di nuove.
Creazione di una voce della CSP
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Content Security Policy.
- Fare clic su Aggiungi.
-
Fornire un nome.
-
Inserire l'origine in uno dei seguenti formati:
-
domain.com
-
*.domain.com
Nota informaticaQlik Sense implementa HTTPS. -
-
Selezionare le direttive applicabili.
- Fare clic su Aggiungi.
Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.
Modifica di una voce della CSP
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Content Security Policy.
- Individuare la voce CSP che si desidera modificare, fare clic su , quindi selezionare Modifica.
- Modificare le opzioni CSP in base alle esigenze.
- Fare clic su Salva.
Gli utenti devono aggiornare il browser affinché le modifiche abbiano effetto.
Eliminazione di una voce della CSP
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare a Content Security Policy.
-
Selezionare le voci CSP che si desidera rimuovere e fare clic su Elimina.
- Confermare l'eliminazione.
Visualizzazione e copia di un'intestazione della CSP
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Content Security Policy.
- Fare clic su Visualizza intestazione.
- Nella finestra di dialogo, fare clic su Copia negli Appunti.
- Fare clic su Fine.