Ga naar hoofdinhoud Ga naar aanvullende inhoud

Content Security Policy beheren (CSP)

Controleer en beheer uw inhoudbeveiligingsbeleid (CSP) in Qlik Cloud om de bescherming tegen aanvallen als Cross Site Scripting (XSS) en data-injectie te verbeteren.

Qlik Cloud gebruikt Content Security Policy (CSP) niveau 2 waarmee een extra beveiligingslaag wordt geboden die helpt bepaalde typen aanvallen, waaronder XSS en aanvallen met data-injectie, te detecteren en beperken. Deze aanvallen kunnen leiden tot gegevensdiefstal, de beschadiging van sites en de verspreiding van malware.

CSP stelt tenantbeheerders in staat om bronnen te beheren als een uitbreiding of een thema voor een bepaalde pagina kan worden geladen. Beleid omvat meestal het specificeren van server-oorsprongen en scripteindpunten. Oorsprongen van uitbreidingen of thema's die bronverzoeken naar externe bronnen bevatten, moeten zijn opgenomen in de in de acceptatielijst van de CSP.

Ga voor meer informatie naar MDN Web Docs: Content Security Policy (CSP).

Instructies

De beheerlocaties voor instructies van waaruit bepaalde brontypen kunnen worden geladen. De volgende instructies worden gevolgd:

Instructies
Instructie Beschrijving

child-src

Definieert geldige bronnen voor internetwerkers en geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>.

Gebruik frame-src en worker-src voor meer specifieke controle.

form-action

Beperkt welke URL's kunnen worden gebruikt als de bestemming van inzendingen vanuit een bepaalde context.

media-src

Specificeert geldige bronnen voor het laden van media met behulp van de elementen <audio>, <video> en <track>.

style-src

Specificeert geldige bronnen voor opmaakmodellen.

connect-src

Beperkt welke URL's kunnen worden geladen met behulp van scriptinterfaces.

frame-src

Specificeert de geldige bronnen voor geneste browsecontexten met behulp van elementen als <frame> en <iframe>.
frame-ancestors Specificeert geldige bronnen voor het insluiten van de resource met behulp van <frame>, <iframe>, <object>, <embed> en <applet>.

object-src

Specificeert geldige bronnen de elementen <object>, <embed> en <applet>.

Elementen die worden beheerd door object-src worden beschouwd als verouderde HTML-elementen en ontvangen geen nieuwe gestandaardiseerde functies, zoals de beveiligingskenmerken sandbox of allow voor <iframe>. Het is dan ook raadzaam deze fetch-instructie te beperken, bijvoorbeeld door waar mogelijk expliciet object-src 'none' in te stellen.

worker-src

Specificeert geldige bronnen voor Worker, SharedWorker of ServiceWorker scripts.

font-src

Specificeert geldige bronnen voor lettertypen die worden geladen met behulp van@font-face.

image-src

Specificeert geldige bronnen van afbeeldingen en favicons.

script-src

Specificeert geldige bronnen voor JavaScript.

Standaard inhoudbeveiligingsbeleid (CSP)voor Qlik Cloud

Qlik Cloud heeft een standaard CSP met alle domeinen die op de veilige lijst staan. U kunt bijvoorbeeld afbeeldingen van de volgende domeinen gebruiken zonder dat u ze aan uw eigen CSP moet toevoegen.

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Zie Domeinnamen en IP-adressen op de allowlist plaatsen voor een volledige lijst van standaarddomeinen.

Limieten voor CSP-vermeldingen en -kopteksten

De waarden voor het maximale aantal CSP-vermeldingen per tenant en het maximale aantal tekens in de CKP-koptekst liggen vast en kunnen niet worden gewijzigd.

  • Maximumaantal vermeldingen: tot 256 CSP-vermeldingen per tenant. Als u dit overschrijdt, verwijder dan overbodige vermeldingen voordat u nieuwe toevoegt.

  • Lengte koptekst: de CSP-koptekst kan maximaal 6.144 tekens lang zijn. Als u dit limiet overschrijdt, verwijder dan overbodige vermeldingen voordat u nieuwe toevoegt.

Een CSP-vermelding maken

Doe het volgende:

  1. Ga naar Content Security Policy in het Beheer-activiteitencentrum.
  2. Klik op Toevoegen.
  3. Geef een naam op.

  4. Geef de oorsprong in een van de volgende indelingen op:

    • domain.com

    • *.domain.com

    InformatieQlik Sense dwingt HTTPS af.
  5. Selecteer de toepasselijke richtlijnen.

  6. Klik op Toevoegen.

Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.

Een CSP-vermelding bewerken

Doe het volgende:

  1. Ga naar Content Security Policy in het Beheer-activiteitencentrum.
  2. Zoek de CSP-invoer die u wilt bewerken, klik op Meer en selecteer Bewerken.
  3. Wijzig de CSP-opties indien nodig.
  4. Klik op Opslaan.

Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.

Een CSP-vermelding verwijderen

Doe het volgende:

  1. Ga naar Content Security Policy in het Beheer-activiteitencentrum.

  2. Selecteer de CSP-vermeldingen die u wilt verwijderen en klik op Verwijderen.

  3. Bevestig de verwijdering.

De CSP-koptekst weergeven en kopiëren

Doe het volgende:

  1. Ga naar Content Security Policy in het Beheer-activiteitencentrum.
  2. Klik op Koptekst weergeven.
  3. Klik in het dialoogvenster op Naar klembord kopiëren.
  4. Klik op Gereed.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!