メイン コンテンツをスキップする

Content Security Policy の管理

Qlik Sense の SaaS 版では、クロスサイト スクリプティング (XSS) やデータ インジェクション攻撃を含む、特定の種類の攻撃を検出し軽減する助けとなるセキュリティの追加レイヤーを提供する、Content Security Policy (CSP) レベル 2 を活用します。こうした攻撃は、データ盗難から、サイト改ざん、マルウェアの配信にいたるまでのあらゆる形をとります。

Qlik Sense Enterprise では CSP により、テナント管理者が特定のページのためのエクステンションまたはテーマのロードを許可してリソースを管理できるようにします。いくつかの例外を除き、ポリシーには、サーバーの原点およびスクリプトのエンドポイントの特定が関係します。外部リソースへのリソース リクエストが含まれるエクステンションまたはテーマでは、原点が Content Security Policy で許可されている必要があります。

Management Console でコンテンツ セキュリティ ポリシーを管理するには、[Content Security Policy] ページに移動します。

詳細については、 MDN Web ドキュメントを参照してください: コンテンツ セキュリティ ポリシー (CSP)

Content Security Policy の概要

Management Console の [Content Security Policy] ページには、以下のプロパティが示されています。

Management Console プロパティ
プロパティ 説明

名前

コンテンツ セキュリティ ポリシー エントリの名前。

Origin

許可リストに登録するドメインの原点。

Directive (ディレクティブ)

原点に適用されるディレクティブ。

最終更新日時

エントリが最後に更新された日時を表示。

作成済みの日付

エントリの作成日付を表示。

(ディレクティブ)

特定のリソース タイプがロードされる可能性があるディレクティブの管理場所。Qlik Sense Enterprise で対応するディレクティブは次の通りです。

(ディレクティブ)
Directive (ディレクティブ) 説明

child-src

<frame><iframe> などの要素を使用してロードされた、ウェブ ワーカーおよび入れ子になったブラウジング コンテキストのための有効なソースを定義します。

注: 入れ子になったブラウジング コンテキストとワーカーを制御したい場合は、frame-srcworker-src ディレクティブをそれぞれ使用します。

form-action

特定のコンテキストからフォーム送信のターゲットとして使用できる URL を制限します。

media-src

<audio><video> および <track> 要素を使用して、メディアをロードするための有効なソースを指定します。

style-src

スタイルシートのための有効なソースを指定します。

connect-src

スクリプトのインターフェースを使用してロードできる URL を制限します。

frame-src

<frame><iframe> などの要素を使用してロードされた、入れ子になったブラウジング コンテキストのための有効なソースを指定します。
frame-ancestors リソースを埋め込むために有効なソースを指定するには、<frame><iframe><object><embed> および <applet> を使用します。

object-src

<object><embed> および <applet> 要素のための有効なソースを指定します。

注: object-src によって制御される要素は、おそらくレガシー HTML として偶発的にみなされているため、新しく標準化された機能 (セキュリティ属性のサンドボックス、または <iframe> のための許可など) を受信しません。そのため、このフェッチディレクティブの制限 (たとえば、可能ならば object-src 'none' を明示的に設定するなど) をお勧めします。

worker-src

WorkerSharedWorker、または ServiceWorker スクリプトのための有効なソースを指定します。

font-src

@font-face を使用して、ロードしたフォントのための有効なソースを指定します。

image-src

画像とファビコンの有効なソースを指定します。

script-src

JavaScript のための有効なソースを指定します。

Content Security Policy のエントリとヘッダーの長さの検討

Content Security Policy のエントリ最大許可数は、テナントあたり 256 です。Content Security Policy エントリ最大許可数を超えているとのエラー メッセージが表示される場合は、使用していない Content Security Policy エントリを削除してから、新しい Content Security Policy エントリを追加します。

Content Security Policy のヘッダーの最大長は、2048 文字です。新しい Content Security Policy エントリを追加するときに、Content Security Policy ヘッダーの最大長を超えているとのエラー メッセージが表示される場合は、使用していない Content Security Policy エントリを削除してから、新しい Content Security Policy エントリを追加します。

CPS のヘッダーの最大許可文字数の既定値と、テナントあたりの CPS エントリ最大許可数は組み込まれており、Qlik Sense Enterprise SaaS で変更することはできません。

Content Security Policy エントリの作成

注: テナントごとに最大 256 の Content Security Policy エントリが許可されます。

次の手順を実行します。

  1. Management Console で、[Content Security Policy] セクションに移動し、右上隅の [追加] をクリックします。
  2. ダイアログで、[Content Security Policy] に名前を付けます。

  3. 原点のアドレスを ドメイン.com の形式で入力します。

    Qlik Sense HTTPS を実行します。

  4. 原点に適用されるディレクティブを選択します。

    注: 複数のディレクティブを追加できます。
  5. [追加] をクリックします。
注: Content Security Policy の作成時または編集時にクライアントを使用しているユーザーは、変更を有効にするためにブラウザを更新する必要があります。

Content Security Policy エントリの編集

次の手順を実行します。

  1. Management Console で、[Content Security Policy] セクションに移動し、編集したい CSP エントリを選択して、[編集] をクリックします。
  2. 必要に応じ、ダイアログで CSP エントリのオプションを変更します。
  3. [保存] をクリックします。
注: Content Security Policy の作成時または編集時にクライアントを使用しているユーザーは、変更を有効にするためにブラウザを更新する必要があります。

Content Security Policy エントリの削除

次の手順を実行します。

  1. Management Console で、[Content Security Policy] セクションに移動し、削除したい CSP エントリを選択して、[削除] をクリックします。

    注: 数個のアイテムを同時に削除できます。
  2. CSP エントリの削除を確認します。

Content Security Policy ヘッダーのコピー

注: Content Security Policy ヘッダーには最大 2048 文字を使用できます。

次の手順を実行します。

  1. Management Console で、[Content Security Policy] セクションに移動し、[ヘッダーを表示] をクリックします。
  2. ダイアログで、[クリップボードにコピー] をクリックします。
  3. [完了] をクリックします。