Content Security Policy の管理
Qlik Cloud ユーザー Content Security Policy (CSP) レベル 2 は、クロスサイト スクリプティング (XSS) やデータ インジェクション攻撃を含む、特定の種類の攻撃を検出し軽減する助けとなるセキュリティの追加レイヤーを提供します。こうした攻撃は、データ盗難から、サイト改ざん、マルウェアの配信にいたるまでのあらゆる形をとります。
Qlik Cloud では CSP により、テナント管理者が特定のページのための拡張またはテーマのロードを許可してリソースを管理できるようにします。いくつかの例外を除き、ポリシーには、サーバーの原点およびスクリプトのエンドポイントの特定が関係します。拡張またはテーマに外部リソースへのリソース リクエストが含まれている場合、それらのオリジンが Content Security Policy の許可リストに追加されている必要があります。
管理コンソール でコンテンツ セキュリティ ポリシーを管理するには、[Content Security Policy] ページに移動します。
詳細については、 MDN Web ドキュメントを参照してください: コンテンツ セキュリティ ポリシー (CSP) 。
Content Security Policy の概要
管理コンソール の [Content Security Policy] ページには、以下のプロパティが示されています。
| プロパティ | 説明 |
|---|---|
|
名前 |
コンテンツ セキュリティ ポリシー エントリの名前。 |
|
オリジン |
許可リストに追加するドメインのオリジン。 |
|
ディレクティブ |
オリジンに適用されるディレクティブ。 |
|
最終更新日時 |
エントリが最後に更新された日時。 |
|
作成済みの日付 |
エントリが作成された日付。 |
(ディレクティブ)
特定のリソース タイプがロードされる可能性があるディレクティブの管理場所。以下で説明するディレクティブは、Qlik Sense Enterprise でサポートされています。
| Directive (ディレクティブ) | 説明 |
|---|---|
|
child-src |
<frame> や <iframe> などの要素を使用してロードされた、ウェブ ワーカーおよび入れ子になったブラウジング コンテキストのための有効なソースを定義します。 入れ子になったブラウジング コンテキストとワーカーを制御したい場合は、frame-src と worker-src ディレクティブをそれぞれ使用します。 |
|
form-action |
特定のコンテキストからフォーム送信のターゲットとして使用できる URL を制限します。 |
|
media-src |
<audio>、<video> および <track> 要素を使用して、メディアをロードするための有効なソースを指定します。 |
|
style-src |
スタイルシートのための有効なソースを指定します。 |
|
connect-src |
スクリプトのインターフェースを使用してロードできる URL を制限します。 |
|
frame-src |
<frame> や <iframe> などの要素を使用してロードされた、入れ子になったブラウジング コンテキストのための有効なソースを指定します。 |
| frame-ancestors | リソースを埋め込むために有効なソースを指定するには、<frame>、<iframe>、<object>、<embed> および <applet> を使用します。 |
|
object-src |
<object>、<embed> および <applet> 要素のための有効なソースを指定します。 object-src によって制御される要素は、おそらくレガシー HTML として偶発的にみなされているため、新しく標準化された機能 (セキュリティ属性のサンドボックス、または <iframe> のための許可など) を受信しません。そのため、このフェッチディレクティブの制限 (たとえば、可能ならば object-src 'none' を明示的に設定するなど) をお勧めします。 |
|
worker-src |
Worker、SharedWorker、または ServiceWorker スクリプトのための有効なソースを指定します。 |
|
font-src |
@font-face を使用して、ロードしたフォントのための有効なソースを指定します。 |
|
image-src |
画像とファビコンの有効なソースを指定します。 |
|
script-src |
JavaScript のための有効なソースを指定します。 |
Qlik Cloud 既定のセキュリティ ポリシー
Qlik Cloud には、全ユーザー向けの既定 CSP があり、安全リストに登録されたドメインが含まれています。例えば、自分のコンテンツ セキュリティ ポリシーに追加せずに、次のドメインの画像を使用できます。他のソースから取った画像では、そのドメインをコンテンツ セキュリティ ポリシーに追加する必要があります。
Qlik Cloud の画像とファビコンの既定値ソース:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
すべての Qlik Cloud ユーザーに対するその他の既定ドメインのリストについては、「ドメイン名と IP アドレスの許可リストへの登録」を参照してください。
Content Security Policy のエントリとヘッダーの長さの検討
Content Security Policy のエントリ最大許可数は、テナントあたり 256 です。Content Security Policy エントリ最大許可数を超えているとのエラー メッセージが表示される場合は、使用していない Content Security Policy エントリを削除してから、新しい Content Security Policy エントリを追加します。
Content Security Policy のヘッダーの最大長は、3,072 文字です。新しい Content Security Policy エントリを追加するときに、Content Security Policy ヘッダーの最大長を超えているとのエラー メッセージが表示される場合は、使用していない Content Security Policy エントリを削除してから、新しい Content Security Policy エントリを追加します。
CPS のヘッダーの最大許可文字数の既定値と、テナントあたりの CPS エントリ最大許可数は組み込まれており、Qlik Cloud で変更することはできません。
Content Security Policy エントリの作成
次の手順を実行します。
- 管理コンソール で、[Content Security Policy] セクションに移動し、右上隅の [追加] をクリックします。
-
ダイアログで、[Content Security Policy] に名前を付けます。
-
原点のアドレスを次のいずれかの形式で入力します。
-
domain.com
-
*.domain.com
Qlik Sense HTTPS を実行します。
-
-
原点に適用されるディレクティブを選択します。
情報メモ複数のディレクティブを追加できます。 - [追加] をクリックします。
Content Security Policy エントリの編集
次の手順を実行します。
- 管理コンソール で、Content Security Policy セクションに移動します。
- 編集する CSP エントリを見つけ、
をクリックして、 [編集] を選択します。 - ダイアログで、必要に応じて CSP エントリ オプションを変更します。
- [保存] をクリックします。
Content Security Policy エントリの削除
次の手順を実行します。
-
管理コンソール で、[Content Security Policy] セクションに移動し、削除したい CSP エントリを選択して、[削除] をクリックします。
情報メモ数個のアイテムを同時に削除できます。 - CSP エントリの削除を確認します。
Content Security Policy ヘッダーのコピー
次の手順を実行します。
- 管理コンソール で、[Content Security Policy] セクションに移動し、[ヘッダーを表示] をクリックします。
- ダイアログで、[クリップボードにコピー] をクリックします。
- [完了] をクリックします。