기본 콘텐츠로 건너뛰기 보완적인 콘텐츠로 건너뛰기

Content Security Policy 관리(CSP)

Qlik Cloud에서 CSP(콘텐츠 보안 정책)를 제어하고 관리하여 XSS(교차 사이트 스크립팅) 및 데이터 주입과 같은 공격으로부터 보호 기능을 강화합니다.

Qlik Cloud는 XSS 및 데이터 주입을 포함한 특정 유형의 공격을 탐지하고 완화하는 데 도움이 되는 추가 보안 계층을 제공하는 Content Security Policy(CSP) 수준 2를 사용합니다. 이러한 공격으로 인해 데이터 도난, 사이트 훼손, 악성 코드 배포가 발생할 수 있습니다.

CSP를 사용하면 테넌트 관리자가 확장이나 테마가 지정된 페이지에 로드할 수 있는 리소스를 제어할 수 있습니다. 정책에는 일반적으로 서버 원본과 스크립트 종료 지점을 지정하는 것이 포함됩니다. 확장이나 테마에 외부 리소스에 대한 리소스 요청이 포함되어 있는 경우 이러한 원본을 CSP의 허용 목록에 추가해야 합니다.

자세한 내용은 MDN 웹 문서: 콘텐츠 보안 정책(CSP)을 참조하십시오.

Directive(지시문)

지침은 특정 리소스 유형이 로드될 수 있는 위치를 제어합니다. 다음 지침이 지원됩니다.

Directive(지시문)
Directive(지시문) 설명

child-src

<frame><iframe>과 같은 요소를 사용하여 로드된 웹 작업자 및 중첩된 검색 컨텍스트에 대한 유효한 소스를 정의합니다.

더욱 구체적인 제어를 위해 frame-srcworker-src를 사용합니다.

form-action

지정된 컨텍스트에서 제출의 대상으로 사용할 수 있는 URL을 제한합니다.

media-src

<audio>, <video><track> 요소를 사용하여 미디어를 로드할 수 있는 유효한 소스를 지정합니다.

style-src

스타일 시트의 유효한 소스를 지정합니다.

connect-src

스크립트 인터페이스를 사용하여 로드할 수 있는 URL을 제한합니다.

frame-src

<frame><iframe>과 같은 요소를 사용하여 중첩된 검색 컨텍스트에 대한 유효한 소스를 지정합니다.
frame-ancestors <frame>, <iframe>, <object>, <embed><applet>을 사용하여 리소스를 포함하기 위한 유효한 소스를 지정합니다.

object-src

<object>, <embed><applet> 요소에 대한 유효한 소스를 지정합니다.

object-src에 의해 제어되는 요소는 레거시 HTML 요소로 간주되며 <iframe>에 대한 보안 기능 sandbox 또는 allow와 같은 새로운 표준화된 특성을 수신하지 못합니다. 가능하다면 object-src 'none'을 명시적으로 설정하여 이 fetch-directive를 제한하는 것이 좋습니다.

worker-src

Worker, SharedWorker 또는 ServiceWorker 스크립트에 대한 유효한 소스를 지정합니다.

font-src

@font-face를 사용하여 로드된 글꼴에 대한 유효한 소스를 지정합니다.

image-src

이미지 및 즐겨찾기 아이콘에 대한 유효한 소스를 지정합니다.

script-src

JavaScript에 대한 유효한 소스를 지정합니다.

Qlik Cloud 기본 CSP

Qlik Cloud에는 안전 목록에 포함된 도메인을 포함하는 기본 CSP가 있습니다. 예를 들어, CSP에 추가하지 않고도 다음 도메인의 이미지를 사용할 수 있습니다.

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

기본 도메인의 전체 목록은 도메인 이름 및 IP 주소 허용 목록를 참조하십시오.

CSP 항목 및 헤더 제한

테넌트당 CSP 항목의 최대 수와 CSP 헤더의 최대 문자 수에 대한 값은 기본 제공되므로 변경할 수 없습니다.

  • 최대 항목: 테넌트당 최대 256개의 CSP 항목. 이를 초과하는 경우 새 항목을 추가하기 전에 중복된 항목을 제거합니다.

  • 헤더 길이: CSP 헤더의 길이는 최대 6,144자입니다. 이 제한을 초과하는 경우 새 항목을 추가하기 전에 중복된 항목을 제거합니다.

CSP 항목 만들기

다음과 같이 하십시오.

  1. 관리 활동 센터에서 Content Security Policy로 이동합니다.
  2. 추가를 클릭합니다.
  3. 이름을 입력합니다.

  4. 다음 형식 중 하나로 원본을 입력합니다.

    • domain.com

    • *.domain.com

    정보 메모Qlik Sense HTTPS를 적용합니다.
  5. 해당 지침을 선택합니다.

  6. 추가를 클릭합니다.

변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.

CSP 항목 편집

다음과 같이 하십시오.

  1. 관리 활동 센터에서 Content Security Policy로 이동합니다.
  2. 편집하려는 CSP 항목을 찾아 자세히를 클릭한 다음 편집을 선택합니다.
  3. 필요에 따라 CSP 옵션을 변경합니다.
  4. 저장을 클릭합니다.

변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.

CSP 항목 삭제

다음과 같이 하십시오.

  1. 관리 활동 센터에서 Content Security Policy로 이동합니다.

  2. 제거할 CSP 항목을 선택하고 제거를 클릭합니다.

  3. 삭제를 확인합니다.

CSP 헤더 보기 및 복사

다음과 같이 하십시오.

  1. 관리 활동 센터에서 Content Security Policy로 이동합니다.
  2. 헤더 보기를 클릭합니다.
  3. 대화 상자에서 클립보드로 복사를 클릭합니다.
  4. 완료를 클릭합니다.

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 개선 방법을 알려 주십시오!