Content Security Policy 관리(CSP)
Qlik Cloud에서 CSP(콘텐츠 보안 정책)를 제어하고 관리하여 XSS(교차 사이트 스크립팅) 및 데이터 주입과 같은 공격으로부터 보호 기능을 강화합니다.
Qlik Cloud는 XSS 및 데이터 주입을 포함한 특정 유형의 공격을 탐지하고 완화하는 데 도움이 되는 추가 보안 계층을 제공하는 Content Security Policy(CSP) 수준 2를 사용합니다. 이러한 공격으로 인해 데이터 도난, 사이트 훼손, 악성 코드 배포가 발생할 수 있습니다.
CSP를 사용하면 테넌트 관리자가 확장이나 테마가 지정된 페이지에 로드할 수 있는 리소스를 제어할 수 있습니다. 정책에는 일반적으로 서버 원본과 스크립트 종료 지점을 지정하는 것이 포함됩니다. 확장이나 테마에 외부 리소스에 대한 리소스 요청이 포함되어 있는 경우 이러한 원본을 CSP의 허용 목록에 추가해야 합니다.
자세한 내용은 MDN 웹 문서: 콘텐츠 보안 정책(CSP)을 참조하십시오.
Directive(지시문)
지침은 특정 리소스 유형이 로드될 수 있는 위치를 제어합니다. 다음 지침이 지원됩니다.
Directive(지시문) | 설명 |
---|---|
child-src |
<frame> 및 <iframe>과 같은 요소를 사용하여 로드된 웹 작업자 및 중첩된 검색 컨텍스트에 대한 유효한 소스를 정의합니다. 더욱 구체적인 제어를 위해 frame-src 및 worker-src를 사용합니다. |
form-action |
지정된 컨텍스트에서 제출의 대상으로 사용할 수 있는 URL을 제한합니다. |
media-src |
<audio>, <video> 및 <track> 요소를 사용하여 미디어를 로드할 수 있는 유효한 소스를 지정합니다. |
style-src |
스타일 시트의 유효한 소스를 지정합니다. |
connect-src |
스크립트 인터페이스를 사용하여 로드할 수 있는 URL을 제한합니다. |
frame-src |
<frame> 및 <iframe>과 같은 요소를 사용하여 중첩된 검색 컨텍스트에 대한 유효한 소스를 지정합니다. |
frame-ancestors | <frame>, <iframe>, <object>, <embed> 및 <applet>을 사용하여 리소스를 포함하기 위한 유효한 소스를 지정합니다. |
object-src |
<object>, <embed> 및 <applet> 요소에 대한 유효한 소스를 지정합니다. object-src에 의해 제어되는 요소는 레거시 HTML 요소로 간주되며 <iframe>에 대한 보안 기능 sandbox 또는 allow와 같은 새로운 표준화된 특성을 수신하지 못합니다. 가능하다면 object-src 'none'을 명시적으로 설정하여 이 fetch-directive를 제한하는 것이 좋습니다. |
worker-src |
Worker, SharedWorker 또는 ServiceWorker 스크립트에 대한 유효한 소스를 지정합니다. |
font-src |
@font-face를 사용하여 로드된 글꼴에 대한 유효한 소스를 지정합니다. |
image-src |
이미지 및 즐겨찾기 아이콘에 대한 유효한 소스를 지정합니다. |
script-src |
JavaScript에 대한 유효한 소스를 지정합니다. |
Qlik Cloud 기본 CSP
Qlik Cloud에는 안전 목록에 포함된 도메인을 포함하는 기본 CSP가 있습니다. 예를 들어, CSP에 추가하지 않고도 다음 도메인의 이미지를 사용할 수 있습니다.
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
기본 도메인의 전체 목록은 도메인 이름 및 IP 주소 허용 목록를 참조하십시오.
CSP 항목 및 헤더 제한
테넌트당 CSP 항목의 최대 수와 CSP 헤더의 최대 문자 수에 대한 값은 기본 제공되므로 변경할 수 없습니다.
-
최대 항목: 테넌트당 최대 256개의 CSP 항목. 이를 초과하는 경우 새 항목을 추가하기 전에 중복된 항목을 제거합니다.
-
헤더 길이: CSP 헤더의 길이는 최대 6,144자입니다. 이 제한을 초과하는 경우 새 항목을 추가하기 전에 중복된 항목을 제거합니다.
CSP 항목 만들기
다음과 같이 하십시오.
- 관리 활동 센터에서 Content Security Policy로 이동합니다.
- 추가를 클릭합니다.
-
이름을 입력합니다.
-
다음 형식 중 하나로 원본을 입력합니다.
-
domain.com
-
*.domain.com
정보 메모Qlik Sense HTTPS를 적용합니다. -
-
해당 지침을 선택합니다.
- 추가를 클릭합니다.
변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.
CSP 항목 편집
다음과 같이 하십시오.
- 관리 활동 센터에서 Content Security Policy로 이동합니다.
- 편집하려는 CSP 항목을 찾아 를 클릭한 다음 편집을 선택합니다.
- 필요에 따라 CSP 옵션을 변경합니다.
- 저장을 클릭합니다.
변경 내용을 적용하려면 사용자는 브라우저를 새로 고쳐야 합니다.
CSP 항목 삭제
다음과 같이 하십시오.
-
관리 활동 센터에서 Content Security Policy로 이동합니다.
-
제거할 CSP 항목을 선택하고 제거를 클릭합니다.
- 삭제를 확인합니다.
CSP 헤더 보기 및 복사
다음과 같이 하십시오.
- 관리 활동 센터에서 Content Security Policy로 이동합니다.
- 헤더 보기를 클릭합니다.
- 대화 상자에서 클립보드로 복사를 클릭합니다.
- 완료를 클릭합니다.