Ga naar hoofdinhoud

Content Security Policy beheren

SaaS-versies van Qlik Sense gebruiken Content Security Policy (CSP) Niveau 2. Dit biedt een extra beveiligingslaag die helpt bepaalde typen aanvallen, waaronder Cross Site Scripting (XSS) en aanvallen met gegevensinjectie, te detecteren en te mitigeren. Deze aanvallen hebben allerlei doeleinden, van gegevensdiefstal tot het defacen van websites of verspreiding van malware.

In Qlik Sense Enterprise laat CSP tenantbeheerders bronnen beheren als een extensie of een thema voor een bepaalde pagina mag worden geladen. Enkele uitzonderingen daargelaten omvat beleid meestal het specificeren van server-oorsprongen en scripteindpunten. Oorsprongen van uitbreidingen of thema's die bronverzoeken naar externe bronnen bevatten, moeten in de Content Security Policy-allowlist zijn opgenomen.

Als u beveiligingsbeleidsregels voor inhoud wilt beheren in de Beheerconsole, navigeert u naar de pagina Content Security Policy.

Ga voor meer informatie naar MDN Web Docs: Content Security Policy.

Overzicht van Content Security Policy

Op de pagina Content Security Policy van de Beheerconsole worden de hieronder beschreven eigenschappen getoond.

Eigenschappen beheerconsole
Eigenschap Beschrijving

Naam

Naam van de Content Security Policy-vermelding.

Oorsprong

Domeinoorsprong naar allowlist.

Directive (Instructie)

Op de oorsprong toepasselijke richtlijn.

Laatst bijgewerkt

Wanneer de vermelding de laatste keer is bijgewerkt.

Datum gemaakt

Wanneer de vermelding is gemaakt.

Instructies

De beheerlocaties voor instructies van waaruit bepaalde brontypen kunnen worden geladen. De onderstaande instructies worden ondersteund in Qlik Sense Enterprise.

Instructies in Qlik Sense Enterprise
Instructie Beschrijving

child-src

Definieert de geldige bronnen voor internetwerkers en geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>.

Als u geneste bladercontexten en werkers wilt reguleren, gebruikt u de respectieve instructies frame-src en worker-src.

form-action

Beperkt welke URL's kunnen worden gebruikt als de bestemming van formulierinzendingen vanuit een bepaalde context.

media-src

Specificeert geldige bronnen voor het laden van media met behulp van de elementen <audio>, <video> en <track>.

style-src

Specificeert geldige bronnen voor opmaakmodellen.

connect-src

Beperkt welke URL's kunnen worden geladen met behulp van scriptinterfaces.

frame-src

Specificeert de geldige bronnen voor geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>.
frame-ancestors Specificeert geldige bronnen voor het insluiten van de resource met behulp van <frame>, <iframe>, <object>, <embed> en <applet>.

object-src

Specificeert geldige bronnen de elementen <object>, <embed> en <applet>.

Elementen die worden beheerd door object-src worden mogelijk beschouwd als verouderde HTML-elementen en ontvangen geen nieuwe gestandaardiseerde functies (zoals de sandbox voor beveiligingskenmerken of toestemming voor <iframe>). Het is dan ook raadzaam deze fetch-instructie te beperken (bijvoorbeeld door waar mogelijk expliciet object-src 'none' in te stellen).

worker-src

Specificeert geldige bronnen voor Worker, SharedWorker of ServiceWorker scripts.

font-src

Specificeert geldige bronnen voor lettertypen die worden geladen met behulp van@font-face.

image-src

Specificeert geldige bronnen van afbeeldingen en favicons.

script-src

Specificeert geldige bronnen voor JavaScript.

Overwegingen omtrent de lengte van Content Security Policy-vermeldingen en koptekst

Het maximaal toegestane aantal Content Security Policy-vermeldingen per tenant bedraagt 256. Als u een foutmelding krijgt omdat u het maximaal toegestane aantal Content Security Policy-vermeldingen overschrijdt, kunt u overbodige Content Security Policy-vermeldingen verwijderen en dan uw nieuwe Content Security Policy-vermelding invoeren.

De Content Security Policy-koptekst mag maximaal 3,072 tekens lang zijn. Als u een foutmelding krijgt omdat de Content Security Policy-koptekst te lang wordt als u een nieuwe Content Security Policy-vermelding toevoegt, kunt u overtollige Content Security Policy-vermeldingen verwijderen en dan uw nieuwe Content Security Policy-vermelding invoeren.

Zowel de maximaal toegestane tekenlengte in de standaardwaarde voor de CSP-koptekst als de standaardwaarde voor het maximale aantal CSP-vermeldingen per tenant liggen vast en kunnen niet worden gewijzigd in Qlik Sense Enterprise SaaS.

Een Content Security Policy-vermelding maken

InformatiePer tenant zijn maximaal 256 Content Security Policy-vermeldingen toegestaan.

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en klik rechtsboven op Toevoegen.
  2. In het dialoogvenster dat verschijnt, geeft u Content Security Policy een naam.

  3. Typ het adres van de oorsprong in de indeling domein.com.

    Qlik Sense dwingt HTTPS af.

  4. Selecteer de op de oorsprong toepasselijke richtlijn.

    InformatieU kunt verschillende richtlijnen toevoegen.
  5. Klik op Toevoegen.
InformatieGebruikers die de client gebruiken wanneer een Content Security Policy wordt gemaakt of bewerkt, moeten hun browser vernieuwen om de wijzigingen te kunnen weergeven.

Een Content Security Policy-vermelding bewerken

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en selecteer de CSP-vermelding die u wilt bewerken. Klik vervolgens op Bewerken.
  2. Wijzig in het dialoogvenster de gewenste opties voor de CSP-vermelding.
  3. Klik op Opslaan.
InformatieGebruikers die de client gebruiken wanneer een Content Security Policy wordt gemaakt of bewerkt, moeten hun browser vernieuwen om de wijzigingen te kunnen weergeven.

Een Content Security Policy-vermelding verwijderen

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en selecteer de CSP-vermelding die u wilt verwijderen. Klik vervolgens op Verwijderen.

    InformatieU kunt verschillende items tegelijkertijd verwijderen.
  2. Bevestig dat u de CSP-vermelding wilt verwijderen.

De Content Security Policy-koptekst kopiëren

InformatieIn de koptekst van de zijn maximaal 6,144 tekens toegestaan.Content Security Policy

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en klik op Koptekst weergeven.
  2. Klik in het dialoogvenster op Naar klembord kopiëren.
  3. Klik op Gereed.