メイン コンテンツをスキップする 補完的コンテンツへスキップ

Content Security Policy (CSP) の管理

Qlik Cloud でコンテンツ セキュリティ ポリシー (CSP) を制御および管理して、クロスサイト スクリプティング (XSS) やデータ インジェクションなどの攻撃に対する保護を強化します。

Qlik Cloud ユーザー Content Security Policy (CSP) レベル 2 は、XSS やデータ インジェクションを含む、特定の種類の攻撃を検出し軽減する助けとなるセキュリティの追加レイヤーを提供します。このような攻撃は、データの盗難、サイトの改ざん、マルウェアの配布につながる可能性があります。

CSP を使用すると、テナント管理者は、拡張またはテーマが特定のページにロードできるリソースを制御できます。ポリシーには、サーバーのオリジンおよびスクリプトのエンドポイントの特定が関係します。拡張またはテーマに外部リソースへのリソース リクエストが含まれている場合、それらのオリジンが CSP の許可リストに追加されている必要があります。

詳細については、MDN Web ドキュメント: コンテンツ セキュリティ ポリシー (CSP) を参照してください。

(ディレクティブ)

ディレクティブにより、特定のリソース タイプをロードできる場所が制御されます。次のディレクティブがサポートされています。

ディレクティブ
ディレクティブ 説明

child-src

<frame><iframe> などの要素を使用してロードされた、ウェブ ワーカーおよび入れ子になったブラウジング コンテキストのための有効なソースを定義します。

frame-srcworker-src を使用して、より詳細な制御を行います。

form-action

特定のコンテキストから送信のターゲットとして使用できる URL を制限します。

media-src

<audio><video><track> 要素を使用して、メディアをロードするための有効なソースを指定します。

style-src

スタイルシートのための有効なソースを指定します。

connect-src

スクリプトのインターフェイスを使用してロードできる URL を制限します。

frame-src

<frame><iframe> などの要素を使用して、ネストされたブラウジング コンテキストのための有効なソースを指定します。
frame-ancestors リソースを埋め込むために有効なソースを指定するには、<frame><iframe><object><embed><applet> を使用します。

object-src

<object><embed> および <applet> 要素のための有効なソースを指定します。

object-src によって制御される要素は、レガシー HTML 要素とみなされているため、<iframe> のセキュリティ属性 sandboxallow などの新しい標準化された機能は受け取りません。可能な場合は、たとえば object-src 'none' を明示的に設定するなどして、このフェッチ ディレクティブを制限することをお勧めします。

worker-src

WorkerSharedWorker、または ServiceWorker スクリプトのための有効なソースを指定します。

font-src

@font-face を使用して、ロードしたフォントのための有効なソースを指定します。

image-src

画像とファビコンの有効なソースを指定します。

script-src

JavaScript のための有効なソースを指定します。

Qlik Cloud の既定の CSP

Qlik Cloud には、セーフリストに登録されたドメインを含む既定の CSP があります。たとえば、次のドメインの画像は CSP に追加しなくても使用できます。

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

既定のドメインのリストについては、「ドメイン名と IP アドレスの許可リストへの登録」を参照してください。

CSP エントリとヘッダーの制限事項

テナントあたりの CSP エントリの最大数と CSP ヘッダーの最大文字数の値は組み込まれており、変更できません。

  • 最大エントリ数: テナントあたり最大 256 個の CSP エントリ。この数を超える場合は、新しいエントリを追加する前に冗長なエントリを削除してください。

  • ヘッダーの長さ: CSP ヘッダーの長さは最大 6,144 文字です。この制限を超える場合は、新しいエントリを追加する前に冗長なエントリを削除してください。

CSP エントリの作成

次の手順を実行します。

  1. Administration アクティビティ センターで、Content Security Policy に移動します。
  2. [追加] をクリックします。
  3. 名前を入力します。

  4. 次のいずれかの形式でオリジンを入力します。

    • domain.com

    • *.domain.com

    情報メモQlik Sense HTTPS を実行します。
  5. 適用するディレクティブを選択します。

  6. [追加] をクリックします。

変更を有効にするには、ユーザーはブラウザを更新する必要があります。

CSP エントリの編集

次の手順を実行します。

  1. Administration アクティビティ センターで、Content Security Policy に移動します。
  2. 編集する CSP エントリを見つけ、詳細 をクリックして、 [編集] を選択します。
  3. 必要に応じて CSP オプションを変更します。
  4. [保存] をクリックします。

変更を有効にするには、ユーザーはブラウザを更新する必要があります。

CSP エントリの削除

次の手順を実行します。

  1. Administration アクティビティ センターで、Content Security Policy に移動します。

  2. 削除する CSP エントリを選択し、 [削除] をクリックします。

  3. 削除を確定します。

CSP ヘッダーの表示とコピー

次の手順を実行します。

  1. Administration アクティビティ センターで、Content Security Policy に移動します。
  2. [ヘッダーを表示] をクリックします。
  3. ダイアログで、[クリップボードにコピー] をクリックします。
  4. [完了] をクリックします。

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。