Content Security Policy (コンテンツ セキュリティ ポリシー) (CSP) の管理
Qlik Cloud でコンテンツ セキュリティ ポリシー (CSP) を制御および管理することで、クロスサイト スクリプティング (XSS) やデータ インジェクション攻撃などのセキュリティ脅威のリスクを軽減できます。
Qlik Cloud はコンテンツ セキュリティ ポリシー (CSP) レベル 2 を使用します。CSP は、アプリケーション、拡張、テーマによって読み込まれる外部リソースを制限することで、セキュリティをさらに強化します。許可されたオリジンとリソースの種類を制限することで、CSP は悪意のあるコードの実行、データ盗難、サイトの改ざん、マルウェアの配布の防止に役立ちます。
必要な権限を持つ管理者は、CSP を使用して、ロードを許可する外部リソース、拡張機能、テーマを制御できます。拡張またはテーマが外部オリジンからリソースを要求する場合、これらのオリジンは CSP 許可リストに明示的に追加する必要があります。
CSP の詳細については、「MDN Web ドキュメント: コンテンツ セキュリティ ポリシー (CSP)」を参照してください。
必要な権限
コンテンツ セキュリティポリシーのエントリを管理するには、次のいずれかが必要です。
-
テナント管理者ロール
-
Admin CSP 権限を含むカスタム ロール
ディレクティブ
ディレクティブは、特定のリソース タイプに対して許可されるソースを定義します。次のディレクティブがサポートされています。
| ディレクティブ | 説明 |
|---|---|
|
child-src |
<frame> や <iframe> などの要素を使用してロードされた、ウェブ ワーカーおよび入れ子になったブラウジング コンテキストのための有効なソースを定義します。frame-src と worker-src を使用して、より詳細な制御を行います。 |
|
connect-src |
スクリプトのインターフェイスを使用してロードできる URL を制限します。 |
|
font-src |
@font-face を使用して、ロードしたフォントのための有効なソースを指定します。 |
|
form-action |
特定のコンテキストから送信のターゲットとして使用できる URL を制限します。 |
| frame-ancestors | リソースを埋め込むために有効なソースを指定するには、<frame>、<iframe>、<object>、<embed>、<applet> エレメントを使用します。 |
|
frame-src |
<frame> や <iframe> などの要素を使用して、ネストされたブラウジング コンテキストのための有効なソースを指定します。 |
|
img-src |
画像とファビコンの有効なソースを指定します。 |
|
media-src |
<audio>、<video>、<track> 要素を使用して、メディアをロードするための有効なソースを指定します。 |
|
object-src |
<object>、<embed> および <applet> 要素のための有効なソースを指定します。 object-src によって制御される要素は、レガシー HTML 要素とみなされているため、<iframe> のセキュリティ属性 sandbox や allow などの新しい標準化された機能は受け取りません。可能な場合は、たとえば object-src 'none' を明示的に設定するなどして、このフェッチ ディレクティブを制限することをお勧めします。 |
|
script-src |
JavaScript のための有効なソースを指定します。 |
|
style-src |
スタイルシートのための有効なソースを指定します。 |
|
worker-src |
Worker、SharedWorker、または ServiceWorker スクリプトのための有効なソースを指定します。 |
Qlik Cloud 既定の CSP
Qlik Cloud には、許可リストに登録されたドメインのセットを含む既定のコンテンツ セキュリティ ポリシーが含まれています。これらのドメインからのリソースは、CSP エントリを追加することなく使用できます。
例には次のようなものがあります。
-
*.qlikcloud.com – コア Qlik Cloud Services および API
-
cdn.pendo.io – 通知コンテンツ
-
gravatar.com – ユーザー プロファイル アイコン
完全なリストについては、「ドメインと IP アドレスを許可リスト化」を参照してください。
CSP エントリとヘッダーの制限事項
次の制限は組み込まれており、変更できません。いずれかの制限に達した場合は、不要または未使用の CSP エントリを削除してください。
-
CSP エントリの最大数: テナントあたり 256 エントリ
-
CSP ヘッダーの最大長: 6,144 文字
CSP エントリの作成
次の手順を実行します。
- 管理 アクティビティ センターで、 [コンテンツ セキュリティ ポリシー] に移動します。
- [追加] をクリックします。
-
名前を入力します。
-
次のいずれかの形式でオリジンを入力します。
-
domain.com
-
*.domain.com
情報メモQlik Sense は CSP エントリに HTTPS を強制します。 -
-
適用するディレクティブを選択します。
- [追加] をクリックします。
変更を有効にするには、ユーザーはブラウザを更新する必要があります。
CSP エントリの編集
次の手順を実行します。
- 管理 アクティビティ センターで、 [コンテンツ セキュリティ ポリシー] に移動します。
- 編集する CSP エントリを見つけ、
をクリックして、 [編集] を選択します。 - 必要に応じて CSP オプションを変更します。
- [保存] をクリックします。
変更を有効にするには、ユーザーはブラウザを更新する必要があります。
CSP エントリの削除
次の手順を実行します。
-
管理 アクティビティ センターで、 [コンテンツ セキュリティ ポリシー] に移動します。
-
削除する CSP エントリを選択し、 [削除] をクリックします。
- 削除を確定します。
CSP ヘッダーの表示とコピー
次の手順を実行します。
- 管理 アクティビティ センターで、 [コンテンツ セキュリティ ポリシー] に移動します。
- [ヘッダーを表示] をクリックします。
- ダイアログで、[クリップボードにコピー] をクリックします。
- [完了] をクリックします。