Content Security Policy (CSP) の管理
Qlik Cloud でコンテンツ セキュリティ ポリシー (CSP) を制御および管理して、クロスサイト スクリプティング (XSS) やデータ インジェクションなどの攻撃に対する保護を強化します。
Qlik Cloud ユーザー Content Security Policy (CSP) レベル 2 は、XSS やデータ インジェクションを含む、特定の種類の攻撃を検出し軽減する助けとなるセキュリティの追加レイヤーを提供します。このような攻撃は、データの盗難、サイトの改ざん、マルウェアの配布につながる可能性があります。
CSP を使用すると、テナント管理者は、拡張またはテーマが特定のページにロードできるリソースを制御できます。ポリシーには、サーバーのオリジンおよびスクリプトのエンドポイントの特定が関係します。拡張またはテーマに外部リソースへのリソース リクエストが含まれている場合、それらのオリジンが CSP の許可リストに追加されている必要があります。
詳細については、MDN Web ドキュメント: コンテンツ セキュリティ ポリシー (CSP) を参照してください。
(ディレクティブ)
ディレクティブにより、特定のリソース タイプをロードできる場所が制御されます。次のディレクティブがサポートされています。
ディレクティブ | 説明 |
---|---|
child-src |
<frame> や <iframe> などの要素を使用してロードされた、ウェブ ワーカーおよび入れ子になったブラウジング コンテキストのための有効なソースを定義します。 frame-src と worker-src を使用して、より詳細な制御を行います。 |
form-action |
特定のコンテキストから送信のターゲットとして使用できる URL を制限します。 |
media-src |
<audio>、<video>、<track> 要素を使用して、メディアをロードするための有効なソースを指定します。 |
style-src |
スタイルシートのための有効なソースを指定します。 |
connect-src |
スクリプトのインターフェイスを使用してロードできる URL を制限します。 |
frame-src |
<frame> や <iframe> などの要素を使用して、ネストされたブラウジング コンテキストのための有効なソースを指定します。 |
frame-ancestors | リソースを埋め込むために有効なソースを指定するには、<frame>、<iframe>、<object>、<embed>、<applet> を使用します。 |
object-src |
<object>、<embed> および <applet> 要素のための有効なソースを指定します。 object-src によって制御される要素は、レガシー HTML 要素とみなされているため、<iframe> のセキュリティ属性 sandbox や allow などの新しい標準化された機能は受け取りません。可能な場合は、たとえば object-src 'none' を明示的に設定するなどして、このフェッチ ディレクティブを制限することをお勧めします。 |
worker-src |
Worker、SharedWorker、または ServiceWorker スクリプトのための有効なソースを指定します。 |
font-src |
@font-face を使用して、ロードしたフォントのための有効なソースを指定します。 |
image-src |
画像とファビコンの有効なソースを指定します。 |
script-src |
JavaScript のための有効なソースを指定します。 |
Qlik Cloud の既定の CSP
Qlik Cloud には、セーフリストに登録されたドメインを含む既定の CSP があります。たとえば、次のドメインの画像は CSP に追加しなくても使用できます。
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
既定のドメインのリストについては、「ドメイン名と IP アドレスの許可リストへの登録」を参照してください。
CSP エントリとヘッダーの制限事項
テナントあたりの CSP エントリの最大数と CSP ヘッダーの最大文字数の値は組み込まれており、変更できません。
-
最大エントリ数: テナントあたり最大 256 個の CSP エントリ。この数を超える場合は、新しいエントリを追加する前に冗長なエントリを削除してください。
-
ヘッダーの長さ: CSP ヘッダーの長さは最大 6,144 文字です。この制限を超える場合は、新しいエントリを追加する前に冗長なエントリを削除してください。
CSP エントリの作成
次の手順を実行します。
- Administration アクティビティ センターで、Content Security Policy に移動します。
- [追加] をクリックします。
-
名前を入力します。
-
次のいずれかの形式でオリジンを入力します。
-
domain.com
-
*.domain.com
情報メモQlik Sense HTTPS を実行します。 -
-
適用するディレクティブを選択します。
- [追加] をクリックします。
変更を有効にするには、ユーザーはブラウザを更新する必要があります。
CSP エントリの編集
次の手順を実行します。
- Administration アクティビティ センターで、Content Security Policy に移動します。
- 編集する CSP エントリを見つけ、 をクリックして、 [編集] を選択します。
- 必要に応じて CSP オプションを変更します。
- [保存] をクリックします。
変更を有効にするには、ユーザーはブラウザを更新する必要があります。
CSP エントリの削除
次の手順を実行します。
-
Administration アクティビティ センターで、Content Security Policy に移動します。
-
削除する CSP エントリを選択し、 [削除] をクリックします。
- 削除を確定します。
CSP ヘッダーの表示とコピー
次の手順を実行します。
- Administration アクティビティ センターで、Content Security Policy に移動します。
- [ヘッダーを表示] をクリックします。
- ダイアログで、[クリップボードにコピー] をクリックします。
- [完了] をクリックします。