Gestione di Content Security Policy

Qlik Cloud utilizza Content Security Policy (CSP) di livello 2, che fornisce un livello supplementare di sicurezza che contribuisce a rilevare e mitigare determinati tipi di attacchi, tra cui gli attacchi Cross Site Scripting (XSS) e di iniezione dati. Questi attacchi vengono utilizzati per tutto, dal furto di dati al web site defacement fino alla distribuzione di malware.

In Qlik Cloud, CSP consente agli amministratori tenant di controllare le risorse che un'estensione o un tema può caricare per una data pagina. Con alcune eccezioni, i criteri devono coinvolgere la specifica delle origini server e degli endpoint script. Se un'estensione o un tema contengono richieste di risorse per delle risorse esterne, è necessario aggiungere le relative origini all'elenco degli elementi consentiti nella Content Security Policy.

Per gestire i criteri di sicurezza dei contenuti nella Console di gestione, navigare fino alla pagina Content Security Policy.

Per ulteriori informazioni, vedere MDN Web Docs: Content Security Policy (CSP).

Panoramica di Content Security Policy

Nella pagina Content Security Policy della Console di gestione, vengono mostrate le proprietà descritte in basso.

Proprietà Console di gestione
Proprietà	Descrizione
Nome	Nome della voce dei criteri di sicurezza dei contenuti.
Origine	Origine dominio da aggiungere all'elenco degli elementi consentiti.
Direttiva	Direttiva applicabile per l'origine.
Ultimo aggiornamento	Quando è stato effettuato l'ultimo aggiornamento della voce.
Data creazione	Quando è stata creata la voce.

Direttive

Le direttive controllano le posizioni da cui è possibile caricare determinati tipi di risorse. Le direttive descritte in basso sono supportate in Qlik Sense Enterprise.

Direttive in Qlik Sense Enterprise
Direttiva	Descrizione
child-src	Definisce le sorgenti valide per i lavoratori del web e i contesti di navigazione nidificati caricati utilizzando elementi quali <frame> e <iframe>. Se si desidera regolare i contesti di navigazione nidificati e i lavoratori, utilizzare rispettivamente le direttive frame-src e worker-src.
form-action	Limita gli URL che possono essere utilizzati come destinazione per l'invio di un modulo da un determinato contesto.
media-src	Specifica sorgenti valide per il caricamento di contenuti multimediali usando gli elementi <audio>, <video> e <track>.
style-src	Specifica le sorgenti valide per i fogli di stile.
connect-src	Limita gli URL che possono essere caricati tramite interfacce di script.
frame-src	Specifica le sorgenti valide per il caricamento di contesti di navigazione nidificati utilizzando elementi come <frame> e <iframe>.
frame-ancestors	Specifica valori validi per integrare la risorsa utilizzando <frame>, <iframe>, <object>, <embed> e <applet>.
object-src	Specifica sorgenti valide per gli elementi <object>, <embed> e <applet>. Gli elementi controllati da object-src sono forse casualmente considerati elementi HTML legacy e non ricevono le nuove caratteristiche standardizzate (come gli attributi di sicurezza sandbox né consentono <iframe>). Si raccomanda pertanto di limitare questa direttiva di recupero (ad esempio impostare esplicitamente object-src 'none' se possibile).
worker-src	Specifica sorgenti valide per gli script Worker, SharedWorker, o ServiceWorker.
font-src	Specifica sorgenti valide per i tipi di carattere caricati usando @font-face.
image-src	Specifica sorgenti valide di immagini e favicon.
script-src	Specifica sorgenti valide per JavaScript.

Qlik Cloud Politica sulla sicurezza dei contenuti predefinita

Qlik Cloud ha una CSP predefinita per tutti gli utenti, che include i domini inseriti in un elenco sicuro. Ad esempio, è possibile utilizzare le immagini dei seguenti domini senza doverle aggiungere alla propria politica sulla sicurezza dei contenuti. Per le immagini prese da altre sorgenti, i domini devono essere aggiunti alla politica sulla sicurezza dei contenuti.

Sorgenti predefinite per immagini e favicon in Qlik Cloud:

maps.qlikcloud.com
ibasemaps-api.arcgis.com
cdn.pendo.io
app.pendo.io
pendo-static-5763789454311424.storage.googleapis.com
data.pendo.io
*.gravatar.com *.wp.com *.
googleusercontent.com
cdn.qlik-stage.com
cdn.qlikcloud.com

Per un elenco di altri domini predefiniti disponibili per tutti gli utenti Qlik Cloud, vedere Aggiunta di nomi di dominio e indirizzi IP all'elenco degli elementi consentiti.

Considerazioni sulla lunghezza delle voci e delle intestazioni Content Security Policy

Il numero massimo delle voci di Content Security Policy consentite per tenant è 256. Se si riceve un messaggio di errore per aver superato il numero di voci di Content Security Policy consentite, è possibile rimuovere le voci di Content Security Policy ridondanti per poi aggiungere la nuova voce di Content Security Policy.

La lunghezza massima dell'intestazione di Content Security Policy è 3,072 caratteri. Se si riceve un messaggio di errore per aver superato la lunghezza dell'intestazione di Content Security Policy durante l'aggiunta di una nuova voce di Content Security Policy, rimuovere le voci di Content Security Policy ridondanti e aggiungere la nuova voce di Content Security Policy.

Il numero massimo di caratteri consentiti nel valore predefinito dell'intestazione CSP e il numero massimo di voci CSP consentite per il valore predefinito del tenant sono stabiliti per impostazione predefinita e non possono essere modificati in Qlik Cloud.

Creazione di una voce Content Security Policy

È consentito un massimo di 256 Content Security Policy voci per tenant.

Procedere come indicato di seguito:

Nella Console di gestione, andare nella sezione Content Security Policy e fare clic su Aggiungi nell'angolo in alto a destra.
Nella finestra di dialogo, fornire un nome al Content Security Policy.
Digitare l'indirizzo dell'origine in uno dei seguenti formati:
- domain.com
- *.domain.com
Qlik Sense implementa HTTPS.
Selezionare la direttiva applicabile per l'origine.

Nota informaticaÈ possibile aggiungere svariate direttive.
Fare clic su Aggiungi.

Gli utenti che utilizzano il client quando vengono creati o modificati Content Security Policy devono aggiornare il proprio browser affinché le modifiche abbiano effetto.

Modifica di una voce Content Security Policy

Procedere come indicato di seguito:

In Console di gestione, andare alla sezione Content Security Policy.
Individuare la voce CSP che si desidera modificare, fare clic su , quindi selezionare Modifica.
Nella finestra di dialogo, modificare le opzioni della voce CSP come desiderato.
Fare clic su Salva.

Gli utenti che utilizzano il client quando vengono creati o modificati Content Security Policy devono aggiornare il proprio browser affinché le modifiche abbiano effetto.

Eliminazione di una voce Content Security Policy

Procedere come indicato di seguito:

Nella Console di gestione, passare alla sezione Content Security Policy e selezionare la voce CSP che si desidera rimuovere, quindi fare clic su Elimina.

Nota informaticaÈ possibile rimuovere più voci alla volta.
Confermare che si desidera eliminare la voce CSP.

Copia dell'intestazione Content Security Policy

Nell'intestazione Content Security Policy è consentito un massimo di 6,144 caratteri.

Procedere come indicato di seguito:

Nella Console di gestione, passare alla sezione Content Security Policy e fare clic su Visualizza intestazione.
Nella finestra di dialogo, fare clic su Copia negli Appunti.
Fare clic su Fine.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!

Lascia qui il tuo feedback