Gestione di Content Security Policy
Qlik Cloud utilizza Content Security Policy (CSP) di livello 2, che fornisce un livello supplementare di sicurezza che contribuisce a rilevare e mitigare determinati tipi di attacchi, tra cui gli attacchi Cross Site Scripting (XSS) e di iniezione dati. Questi attacchi vengono utilizzati per tutto, dal furto di dati al web site defacement fino alla distribuzione di malware.
In Qlik Cloud, CSP consente agli amministratori tenant di controllare le risorse che un'estensione o un tema può caricare per una data pagina. Con alcune eccezioni, i criteri devono coinvolgere la specifica delle origini server e degli endpoint script. Se un'estensione o un tema contengono richieste di risorse per delle risorse esterne, è necessario aggiungere le relative origini all'elenco degli elementi consentiti nella Content Security Policy.
Per gestire i criteri di sicurezza dei contenuti nella Console di gestione, navigare fino alla pagina Content Security Policy.
Per ulteriori informazioni, vedere MDN Web Docs: Content Security Policy (CSP).
Panoramica di Content Security Policy
Nella pagina Content Security Policy della Console di gestione, vengono mostrate le proprietà descritte in basso.
Proprietà | Descrizione |
---|---|
Nome |
Nome della voce dei criteri di sicurezza dei contenuti. |
Origine |
Origine dominio da aggiungere all'elenco degli elementi consentiti. |
Direttiva |
Direttiva applicabile per l'origine. |
Ultimo aggiornamento |
Quando è stato effettuato l'ultimo aggiornamento della voce. |
Data creazione |
Quando è stata creata la voce. |
Direttive
Le direttive controllano le posizioni da cui è possibile caricare determinati tipi di risorse. Le direttive descritte in basso sono supportate in Qlik Sense Enterprise.
Direttiva | Descrizione |
---|---|
child-src |
Definisce le sorgenti valide per i lavoratori del web e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>. Se si desidera regolare i contesti di navigazione nidificati e i lavoratori, utilizzare rispettivamente le direttive frame-src e worker-src. |
form-action |
Limita gli URL che possono essere utilizzati come destinazione per l'invio di un modulo da un determinato contesto. |
media-src |
Specifica sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>. |
style-src |
Specifica le sorgenti valide per i fogli di stile. |
connect-src |
Limita gli URL che possono essere caricati tramite interfacce di script. |
frame-src |
Specifica le sorgenti valide per il caricamento di contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>. |
frame-ancestors | Specifica valori validi per integrare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet>. |
object-src |
Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>. Gli elementi controllati da object-src sono forse casualmente considerati elementi HTML legacy e non ricevono le nuove caratteristiche standardizzate (come gli attributi di sicurezza sandbox né consentono <iframe>). Si raccomanda pertanto di limitare questa direttiva di recupero (ad esempio impostare esplicitamente object-src 'none' se possibile). |
worker-src |
Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker. |
font-src |
Specifica sorgenti valide per i tipi di carattere caricati usando @font-face. |
image-src |
Specifica sorgenti valide di immagini e favicon. |
script-src |
Specifica sorgenti valide per JavaScript. |
Qlik Cloud Politica sulla sicurezza dei contenuti predefinita
Qlik Cloud ha una CSP predefinita per tutti gli utenti, che include i domini inseriti in un elenco sicuro. Ad esempio, è possibile utilizzare le immagini dei seguenti domini senza doverle aggiungere alla propria politica sulla sicurezza dei contenuti. Per le immagini prese da altre sorgenti, i domini devono essere aggiunti alla politica sulla sicurezza dei contenuti.
Sorgenti predefinite per immagini e favicon in Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Per un elenco di altri domini predefiniti disponibili per tutti gli utenti Qlik Cloud, vedere Aggiunta di nomi di dominio e indirizzi IP all'elenco degli elementi consentiti.
Considerazioni sulla lunghezza delle voci e delle intestazioni Content Security Policy
Il numero massimo delle voci di Content Security Policy consentite per tenant è 256. Se si riceve un messaggio di errore per aver superato il numero di voci di Content Security Policy consentite, è possibile rimuovere le voci di Content Security Policy ridondanti per poi aggiungere la nuova voce di Content Security Policy.
La lunghezza massima dell'intestazione di Content Security Policy è 3,072 caratteri. Se si riceve un messaggio di errore per aver superato la lunghezza dell'intestazione di Content Security Policy durante l'aggiunta di una nuova voce di Content Security Policy, rimuovere le voci di Content Security Policy ridondanti e aggiungere la nuova voce di Content Security Policy.
Il numero massimo di caratteri consentiti nel valore predefinito dell'intestazione CSP e il numero massimo di voci CSP consentite per il valore predefinito del tenant sono stabiliti per impostazione predefinita e non possono essere modificati in Qlik Cloud.
Creazione di una voce Content Security Policy
Procedere come indicato di seguito:
- Nella Console di gestione, andare nella sezione Content Security Policy e fare clic su Aggiungi nell'angolo in alto a destra.
-
Nella finestra di dialogo, fornire un nome al Content Security Policy.
-
Digitare l'indirizzo dell'origine in uno dei seguenti formati:
-
domain.com
-
*.domain.com
Qlik Sense implementa HTTPS.
-
-
Selezionare la direttiva applicabile per l'origine.
Nota informaticaÈ possibile aggiungere svariate direttive. - Fare clic su Aggiungi.
Modifica di una voce Content Security Policy
Procedere come indicato di seguito:
- In Console di gestione, andare alla sezione Content Security Policy.
- Individuare la voce CSP che si desidera modificare, fare clic su , quindi selezionare Modifica.
- Nella finestra di dialogo, modificare le opzioni della voce CSP come desiderato.
- Fare clic su Salva.
Eliminazione di una voce Content Security Policy
Procedere come indicato di seguito:
-
Nella Console di gestione, passare alla sezione Content Security Policy e selezionare la voce CSP che si desidera rimuovere, quindi fare clic su Elimina.
Nota informaticaÈ possibile rimuovere più voci alla volta. - Confermare che si desidera eliminare la voce CSP.
Copia dell'intestazione Content Security Policy
Procedere come indicato di seguito:
- Nella Console di gestione, passare alla sezione Content Security Policy e fare clic su Visualizza intestazione.
- Nella finestra di dialogo, fare clic su Copia negli Appunti.
- Fare clic su Fine.