Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen
Zoekvak van SearchUnify laden Neem contact op met Qlik Support als u hulp nodig hebt voor uw product.
Qlik Klantportaal
Zoekvak van SearchUnify laden Neem contact op met Qlik Support als u hulp nodig hebt voor uw product.
Qlik Klantportaal

Inhoudbeveiligingsbeleid (Content Security Policy - CSP) beheren

Controleer en beheer uw inhoudbeveiligingsbeleid (CSP) in Qlik Cloud om het risico op veiligheidsdreigingen zoals Cross Site Scripting (XSS) en data-injectie te verbeteren.

Qlik Cloud gebruikt inhoudbeveiligingsbeleid (CSP) niveau 2. CSP biedt een extra laag beveiliging door te beperken welke externe bronnen kunnen worden geladen door apps, uitbreidingen en thema's. Door toegestane oorsprongen en brontypen te beperken, helpt CSP kwaadaardige code-uitvoering, gegevensdiefstal, website-defacement en malwareverspreiding te voorkomen.

Beheerders met de vereiste machtigingen kunnen CSP gebruiken om te bepalen welke externe bronnen uitbreidingen en thema's mogen laden. Als een uitbreiding of thema bronnen van externe oorsprongen opvraagt, moeten deze oorsprongen zijn opgenomen in de CSP-acceptatielijst.

Ga voor meer informatie over CSP naar MDN Web Docs: Content Security Policy (CSP).

Vereiste machtigingen

Om items van inhoudbeveiligingsbeleid te beheren, moet u een van de volgende hebben:

  • De rol Tenantbeheerder

  • Een aangepaste rol die de Admin CSP-machtiging omvat

Instructies

Instructies definiëren welke bronnen zijn toegestaan voor specifieke typen resources. De volgende instructies worden ondersteund:

CSP-instructies
Instructie Beschrijving

child-src

Definieert geldige bronnen voor internetwerkers en geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>. Gebruik frame-src en worker-src voor meer specifieke controle.

connect-src

Beperkt welke URL's kunnen worden geladen met behulp van scriptinterfaces.

font-src

Specificeert geldige bronnen voor lettertypen die worden geladen met behulp van@font-face.

form-action

Beperkt welke URL's kunnen worden gebruikt als de bestemming van inzendingen vanuit een bepaalde context.
frame-ancestors Specificeert geldige bronnen voor het insluiten van de resource met behulp van elementen van <frame>, <iframe>, <object>, <embed> en <applet>.

frame-src

Specificeert de geldige bronnen voor geneste browsecontexten met behulp van elementen als <frame> en <iframe>.

img-src

Specificeert geldige bronnen van afbeeldingen en favicons.

media-src

Specificeert geldige bronnen voor het laden van media met behulp van de elementen <audio>, <video> en <track>.

object-src

Specificeert geldige bronnen de elementen <object>, <embed> en <applet>.

Elementen die worden beheerd door object-src worden beschouwd als verouderde HTML-elementen en ontvangen geen nieuwe gestandaardiseerde functies, zoals de beveiligingskenmerken sandbox of allow voor <iframe>. Het is dan ook raadzaam deze fetch-instructie waar mogelijk te beperken, bijvoorbeeld door expliciet object-src 'none' in te stellen.

script-src

Specificeert geldige bronnen voor JavaScript.

style-src

Specificeert geldige bronnen voor opmaakmodellen.

worker-src

Specificeert geldige bronnen voor Worker, SharedWorker of ServiceWorker scripts.

Qlik Cloud standaard CSP

Qlik Cloud omvat een standaard inhoudbeveiligingsbeleid met een set van toegestane domeinen. Bronnen van deze domeinen kunnen worden gebruikt zonder CSP-items toe te voegen.

Voorbeelden zijn:

  • *.qlikcloud.com – belangrijkste Qlik Cloud-services en API's

  • cdn.pendo.io – meldingsinhoud

  • gravatar.com – gebruikersprofielpictogrammen

Zie Domeinen en IP-adressen op de acceptatielijst zetten voor een volledige lijst.

Limieten voor CSP-vermeldingen en -kopteksten

De volgende limieten zijn ingebouwd en kunnen niet worden gewijzigd. Als u een van beide limieten bereikt, verwijdert u overbodige of ongebruikte CSP-items.

  • Maximum aantal CSP-items: 256 items per tenant

  • Maximale CSP-koplengte: 6144 tekens

Een CSP-vermelding maken

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar inhoudbeveiligingsbeleid (Content Security Policy).
  2. Klik op Toevoegen.

  3. Geef een naam op.

  4. Geef de oorsprong in een van de volgende indelingen op:

    • domain.com

    • *.domain.com

    InformatieQlik Sense dwingt HTTPS af voor CSP vermeldingen.

  5. Selecteer de toepasselijke richtlijnen.

  6. Klik op Toevoegen.

Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.

Een CSP-vermelding bewerken

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar inhoudbeveiligingsbeleid (Content Security Policy).
  2. Zoek de CSP-invoer die u wilt bewerken, klik op Meer en selecteer Bewerken.
  3. Wijzig de CSP-opties indien nodig.
  4. Klik op Opslaan.

Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.

Een CSP-vermelding verwijderen

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar inhoudbeveiligingsbeleid (Content Security Policy).

  2. Selecteer de CSP-vermeldingen die u wilt verwijderen en klik op Verwijderen.

  3. Bevestig de verwijdering.

De CSP-koptekst weergeven en kopiëren

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar inhoudbeveiligingsbeleid (Content Security Policy).
  2. Klik op Koptekst weergeven.
  3. Klik in het dialoogvenster op Naar klembord kopiëren.
  4. Klik op Gereed.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een tikfout, een ontbrekende stap of een technische fout – laat het ons weten!

Geef hier uw feedback