기본 콘텐츠로 건너뛰기 보완적인 콘텐츠로 건너뛰기
Qlik 리소스
SearchUnify의 검색 로딩 제품에 대한 도움이 필요하면 Qlik 지원 센터에 문의하십시오.
Qlik 고객 포털
SearchUnify의 검색 로딩 제품에 대한 도움이 필요하면 Qlik 지원 센터에 문의하십시오.
Qlik 고객 포털

콘텐츠 보안 정책(Content Security Policy) 관리(CSP)

Qlik Cloud에서 콘텐츠 보안 정책(CSP)을 제어 및 관리하여 교차 사이트 스크립팅(XSS) 및 데이터 주입 공격과 같은 보안 위협의 위험을 줄입니다.

Qlik Cloud는 콘텐츠 보안 정책(CSP) 수준 2를 사용합니다. CSP는 응용 프로그램, 확장 및 테마에서 로드할 수 있는 외부 리소스를 제한하여 추가적인 보안 계층을 제공합니다. 허용된 소스와 리소스 유형을 제한함으로써 CSP는 악성 코드 실행, 데이터 도용, 사이트 변조 및 멀웨어 배포를 방지하는 데 도움이 됩니다.

필요한 권한을 가진 관리자는 CSP를 사용하여 확장과 테마가 로드할 수 있는 외부 리소스를 제어할 수 있습니다. 확장이나 테마가 외부 소스에서 리소스를 요청하는 경우, 이러한 소스는 CSP 허용 목록에 명시적으로 추가되어야 합니다.

CSP에 대한 자세한 내용은 MDN 웹 문서: 콘텐츠 보안 정책(CSP)을 참조하십시오.

필요한 권한

콘텐츠 보안 정책 항목을 관리하려면 다음 중 하나가 필요합니다.

  • 테넌트 관리자 역할

  • 관리자 CSP 권한을 포함하는 사용자 지정 역할

Directive(지시문)

Directive(지시문)는 특정 유형의 리소스에 대해 허용되는 소스를 정의합니다. 다음 지침이 지원됩니다.

CSP Directive(지시문)
Directive(지시문) 설명

child-src

<frame><iframe>과 같은 요소를 사용하여 로드된 웹 작업자 및 중첩된 검색 컨텍스트에 대한 유효한 소스를 정의합니다. 더욱 구체적인 제어를 위해 frame-srcworker-src를 사용합니다.

connect-src

스크립트 인터페이스를 사용하여 로드할 수 있는 URL을 제한합니다.

font-src

@font-face를 사용하여 로드된 글꼴에 대한 유효한 소스를 지정합니다.

form-action

지정된 컨텍스트에서 제출의 대상으로 사용할 수 있는 URL을 제한합니다.
frame-ancestors <frame>, <iframe>, <object>, <embed>, 및 <applet> 요소를 사용하여 리소스를 포함하기 위한 유효한 소스를 지정합니다.

frame-src

<frame><iframe>과 같은 요소를 사용하여 중첩된 검색 컨텍스트에 대한 유효한 소스를 지정합니다.

img-src

이미지 및 즐겨찾기 아이콘에 대한 유효한 소스를 지정합니다.

media-src

<audio>, <video><track> 요소를 사용하여 미디어를 로드할 수 있는 유효한 소스를 지정합니다.

object-src

<object>, <embed><applet> 요소에 대한 유효한 소스를 지정합니다.

object-src로 제어되는 요소는 레거시 HTML 요소로 간주되며 <iframe>에 대한 보안 기능 sandbox 또는 allow과 같은 새로운 표준 기능을 받지 않습니다. 가능한 경우 object-src 'none'과 같이 설정하여 이 fetch-directive를 제한하는 것이 좋습니다.

script-src

JavaScript에 대한 유효한 소스를 지정합니다.

style-src

스타일 시트의 유효한 소스를 지정합니다.

worker-src

Worker, SharedWorker 또는 ServiceWorker 스크립트에 대한 유효한 소스를 지정합니다.

Qlik Cloud 기본값 CSP

Qlik Cloud에는 허용된 도메인 목록이 포함된 기본 콘텐츠 보안 정책이 있습니다. 이러한 도메인의 리소스는 CSP 항목을 추가하지 않고 사용할 수 있습니다.

이에 대한 예는 다음과 같습니다.

  • *.qlikcloud.com – 핵심 Qlik Cloud services 및 API

  • cdn.pendo.io – 알림 콘텐츠

  • gravatar.com – 사용자 프로필 아이콘

전체 목록은 도메인 및 IP 주소 허용 목록을 참조하십시오.

CSP 항목 및 헤더 제한

다음 제한은 기본적으로 적용되며 변경할 수 없습니다. 제한에 도달하면 중복되거나 사용되지 않는 CSP 항목을 제거합니다.

  • 최대 CSP 항목 수: 테넌트당 256개 항목

  • 최대 CSP 헤더 길이: 6,144자

CSP 항목 만들기

다음과 같이 하십시오.

  1. 관리 활동 센터에서 콘텐츠 보안 정책(Content Security Policy)으로 이동합니다.
  2. 추가를 클릭합니다.

  3. 이름을 입력합니다.

  4. 다음 형식 중 하나로 원본을 입력합니다.

    • domain.com

    • *.domain.com

    정보 메모Qlik SenseCSP 항목에 대해 HTTPS를 적용합니다.

  5. 해당 지침을 선택합니다.

  6. 추가를 클릭합니다.

변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.

CSP 항목 편집

다음과 같이 하십시오.

  1. 관리 활동 센터에서 콘텐츠 보안 정책(Content Security Policy)으로 이동합니다.
  2. 편집하려는 CSP 항목을 찾아 자세히를 클릭한 다음 편집을 선택합니다.
  3. 필요에 따라 CSP 옵션을 변경합니다.
  4. 저장을 클릭합니다.

변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.

CSP 항목 삭제

다음과 같이 하십시오.

  1. 관리 활동 센터에서 콘텐츠 보안 정책(Content Security Policy)으로 이동합니다.

  2. 제거할 CSP 항목을 선택하고 제거를 클릭합니다.

  3. 삭제를 확인합니다.

CSP 헤더 보기 및 복사

다음과 같이 하십시오.

  1. 관리 활동 센터에서 콘텐츠 보안 정책(Content Security Policy)으로 이동합니다.
  2. 헤더 보기를 클릭합니다.
  3. 대화 상자에서 클립보드로 복사를 클릭합니다.
  4. 완료를 클릭합니다.

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 알려 주십시오!

여기에 피드백을 남겨주십시오.