기본 콘텐츠로 건너뛰기

Content Security Policy 관리

Qlik Sense SaaS 버전은 XSS(사이트 간 스크립팅) 및 데이터 주입 공격을 비롯한 특정 유형의 공격을 탐지하고 완화할 수 있는 추가 보안 계층을 제공하는 CSP(Content Security Policy) 레벨 2를 활용합니다. 이러한 공격은 데이터 도난에서 사이트 손상에 이르기까지 모든 맬웨어 배포에 사용됩니다.

Qlik Sense Enterprise에서 CSP는 테넌트 관리자가 특정 페이지에 대해 로드할 수 있는 확장 또는 테마 리소스를 제어할 수 있도록 합니다. 정책은 몇 가지 예외를 제외하고는 주로 서버 원본 및 스크립트 종료 지점을 지정합니다. 확장 또는 테마에 외부 리소스에 대한 리소스 요청이 포함된 경우 Content Security Policy에서 해당 원본을 허용 리스트에 추가해야 합니다.

관리 콘솔에서 콘텐츠 보안 정책을 관리하려면 Content Security Policy 페이지로 이동합니다.

자세한 내용은 MDN 웹 문서: CSP(콘텐츠 보안 정책)를 참조하십시오.

Content Security Policy 개요

관리 콘솔Content Security Policy 페이지에 아래 설명된 속성이 표시됩니다.

관리 콘솔 속성
속성 설명

이름

콘텐츠 보안 정책의 이름 항목입니다.

원본

허용 리스트에 추가할 도메인 원본입니다.

Directive(지시문)

원본에 적용할 수 있는 Directive(지시문)입니다.

마지막 업데이트

항목이 마지막으로 업데이트된 시간입니다.

만든 날짜

항목이 만들어진 시간입니다.

Directive(지시문)

Directive(지시문)는 특정 리소스 유형을 로드할 수 있는 위치를 제어합니다. Qlik Sense Enterprise에서 지원되는 Directive(지시문)는 다음과 같습니다.

Qlik Sense Enterprise의 Directive(지시문)
Directive(지시문) 설명

child-src

<frame><iframe>과 같은 요소를 사용하여 로드된 중첩 탐색 컨텍스트 및 웹 작업자에 대한 유효한 소스를 정의합니다.

중첩 탐색 컨텍스트 및 작업자를 제어하려면 각각 frame-srcworker-src Directive(지시문)를 사용합니다.

form-action

지정된 컨텍스트에서 양식 제출 대상으로 사용할 수 있는 URL을 제한합니다.

media-src

<audio>, <video><track> 요소를 사용하여 미디어를 로드할 수 있는 유효한 소스를 지정합니다.

style-src

스타일 시트의 유효한 소스를 지정합니다.

connect-src

스크립트 인터페이스를 사용하여 로드할 수 있는 URL을 제한합니다.

frame-src

<frame><iframe>과 같은 요소를 사용하여 중첩 탐색 컨텍스트 로드에 대한 유효한 소스를 지정합니다.
frame-ancestors <frame>, <iframe>, <object>, <embed><applet>를 사용하여 리소스를 포함하기 위한 유효한 소스를 지정합니다.

object-src

<object>, <embed><applet> 요소에 대한 유효한 소스를 지정합니다.

object-src로 제어되는 요소는 레거시 HTML 요소로 간주될 수 있으며 새로운 표준 기능(예: 보안 특성 샌드박스 또는 <iframe> 허용)을 수신하지 않습니다. 따라서 이 가져오기 Directive(지시문)(예: 가능한 경우 명시적으로 설정된 object-src 'none')를 제한하는 것이 좋습니다.

worker-src

Worker, SharedWorker 또는 ServiceWorker 스크립트에 대한 유효한 소스를 지정합니다.

font-src

@font-face를 사용하여 로드된 글꼴에 대한 유효한 소스를 지정합니다.

image-src

이미지 및 즐겨찾기 아이콘에 대한 유효한 소스를 지정합니다.

script-src

JavaScript에 대한 유효한 소스를 지정합니다.

Content Security Policy 항목 및 헤더 길이의 고려 사항

테넌트마다 허용되는 최대 Content Security Policy 항목 수는 256개입니다. 허용된 Content Security Policy 항목 수를 초과했다는 오류 메시지가 표시되면 중복 Content Security Policy 항목을 제거한 다음 새 Content Security Policy 항목을 추가하면 됩니다.

Content Security Policy 헤더의 최대 길이는 3,072자입니다. 새 Content Security Policy 항목을 추가할 때 Content Security Policy 헤더 길이를 초과했다는 오류 메시지가 표시되면 중복 Content Security Policy 항목을 제거한 다음 새 Content Security Policy 항목을 추가하면 됩니다.

CSP 헤더 기본값에 허용되는 최대 문자 수와 테넌트 기본값마다 허용되는 최대 CSP 항목 수는 기본 제공되며 Qlik Sense Enterprise SaaS에서 변경할 수 없습니다.

Content Security Policy 항목 만들기

정보 메모테넌트마다 최대 256개의 Content Security Policy 항목이 허용됩니다.

다음과 같이 하십시오.

  1. 관리 콘솔에서 Content Security Policy 섹션으로 이동하고 오른쪽 상단 모서리에서 추가를 클릭합니다.
  2. 대화 상자에서 Content Security Policy에 이름을 지정합니다.

  3. 원본 주소를 다음 형식으로 입력합니다. domain.com.

    Qlik Sense HTTPS를 적용합니다.

  4. 원본에 적용 가능한 Directive(지시문)를 선택합니다.

    정보 메모여러 Directive(지시문)를 추가할 수 있습니다.
  5. 추가를 클릭합니다.
정보 메모 Content Security Policy을 만들거나 편집할 때 클라이언트를 사용 중인 사용자는 변경 사항을 적용하려면 브라우저를 새로 고쳐야 합니다.

Content Security Policy 항목 편집

다음과 같이 하십시오.

  1. 관리 콘솔에서 Content Security Policy 섹션으로 이동하고 편집할 CSP 항목을 선택한 다음 편집을 클릭합니다.
  2. 대화 상자에서 CSP 항목 옵션을 원하는 대로 변경합니다.
  3. 저장을 클릭합니다.
정보 메모 Content Security Policy을 만들거나 편집할 때 클라이언트를 사용 중인 사용자는 변경 사항을 적용하려면 브라우저를 새로 고쳐야 합니다.

Content Security Policy 항목 삭제

다음과 같이 하십시오.

  1. 관리 콘솔에서 Content Security Policy 섹션으로 이동하고 제거할 CSP 항목을 선택한 다음 삭제를 클릭합니다.

    정보 메모한 번에 여러 항목을 제거할 수 있습니다.
  2. CSP 항목을 삭제할 것인지 확인합니다.

Content Security Policy 헤더 복사

정보 메모 Content Security Policy 헤더에서는 최대 3,072자가 허용됩니다.

다음과 같이 하십시오.

  1. 관리 콘솔에서 Content Security Policy 섹션으로 이동하고 헤더 보기를 클릭합니다.
  2. 대화 상자에서 클립보드로 복사를 클릭합니다.
  3. 완료를 클릭합니다.