Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

Content Security Policy beheren

Qlik Cloud gebruikt Content Security Policy (CSP) niveau 2 waarmee een extra beveiligingslaag wordt geboden die helpt bepaalde typen aanvallen, waaronder Cross Site Scripting (XSS) en aanvallen met gegevensinjectie, te detecteren en te mitigeren. Deze aanvallen hebben allerlei doeleinden, van gegevensdiefstal tot het defacen van websites of verspreiding van malware.

In Qlik Cloud laat CSP tenantbeheerders bronnen beheren als een extensie of een thema voor een bepaalde pagina mag worden geladen. Enkele uitzonderingen daargelaten omvat beleid meestal het specificeren van server-oorsprongen en scripteindpunten. Oorsprongen van uitbreidingen of thema's die bronverzoeken naar externe bronnen bevatten, moeten in de Content Security Policy-allowlist zijn opgenomen.

Als u beveiligingsbeleidsregels voor inhoud wilt beheren in de Beheerconsole, navigeert u naar de pagina Content Security Policy.

Ga voor meer informatie naar MDN Web Docs: Content Security Policy.

Overzicht van Content Security Policy

Op de pagina Content Security Policy van de Beheerconsole worden de hieronder beschreven eigenschappen getoond.

Eigenschappen beheerconsole
Eigenschap Beschrijving

Naam

Naam van de Content Security Policy-vermelding.

Oorsprong

Domeinoorsprong naar allowlist.

Directive (Instructie)

Op de oorsprong toepasselijke richtlijn.

Laatst bijgewerkt

Wanneer de vermelding de laatste keer is bijgewerkt.

Datum gemaakt

Wanneer de vermelding is gemaakt.

Instructies

De beheerlocaties voor instructies van waaruit bepaalde brontypen kunnen worden geladen. De onderstaande instructies worden ondersteund in Qlik Sense Enterprise.

Instructies in Qlik Sense Enterprise
Instructie Beschrijving

child-src

Definieert de geldige bronnen voor internetwerkers en geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>.

Als u geneste bladercontexten en werkers wilt reguleren, gebruikt u de respectieve instructies frame-src en worker-src.

form-action

Beperkt welke URL's kunnen worden gebruikt als de bestemming van formulierinzendingen vanuit een bepaalde context.

media-src

Specificeert geldige bronnen voor het laden van media met behulp van de elementen <audio>, <video> en <track>.

style-src

Specificeert geldige bronnen voor opmaakmodellen.

connect-src

Beperkt welke URL's kunnen worden geladen met behulp van scriptinterfaces.

frame-src

Specificeert de geldige bronnen voor geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>.
frame-ancestors Specificeert geldige bronnen voor het insluiten van de resource met behulp van <frame>, <iframe>, <object>, <embed> en <applet>.

object-src

Specificeert geldige bronnen de elementen <object>, <embed> en <applet>.

Elementen die worden beheerd door object-src worden mogelijk beschouwd als verouderde HTML-elementen en ontvangen geen nieuwe gestandaardiseerde functies (zoals de sandbox voor beveiligingskenmerken of toestemming voor <iframe>). Het is dan ook raadzaam deze fetch-instructie te beperken (bijvoorbeeld door waar mogelijk expliciet object-src 'none' in te stellen).

worker-src

Specificeert geldige bronnen voor Worker, SharedWorker of ServiceWorker scripts.

font-src

Specificeert geldige bronnen voor lettertypen die worden geladen met behulp van@font-face.

image-src

Specificeert geldige bronnen van afbeeldingen en favicons.

script-src

Specificeert geldige bronnen voor JavaScript.

Standaard inhoudbeveiligingsbeleid van Qlik Cloud

Qlik Cloud heeft een standaard inhoudbeveiligingsbeleid voor alle gebruikers, inclusief domeinen die op de veilige lijst staan. U kunt bijvoorbeeld afbeeldingen van de volgende domeinen gebruiken zonder dat u ze aan uw eigen inhoudbeveiligingsbeleid moet toevoegen. Voor afbeeldingen die afkomstig zijn van andere bronnen moeten de domeinen aan het inhoudbeveiligingsbeleid worden toegevoegd.

Standaardbronnen voor afbeeldingen en favoriete pictogrammen in Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Voor een lijst met andere standaarddomeinen die beschikbaar zijn voor alle Qlik Cloud-gebruikers, raadpleegt u Domeinnamen en IP-adressen op de allowlist plaatsen.

Overwegingen omtrent de lengte van Content Security Policy-vermeldingen en koptekst

Het maximaal toegestane aantal Content Security Policy-vermeldingen per tenant bedraagt 256. Als u een foutmelding krijgt omdat u het maximaal toegestane aantal Content Security Policy-vermeldingen overschrijdt, kunt u overbodige Content Security Policy-vermeldingen verwijderen en dan uw nieuwe Content Security Policy-vermelding invoeren.

De Content Security Policy-koptekst mag maximaal 3,072 tekens lang zijn. Als u een foutmelding krijgt omdat de Content Security Policy-koptekst te lang wordt als u een nieuwe Content Security Policy-vermelding toevoegt, kunt u overtollige Content Security Policy-vermeldingen verwijderen en dan uw nieuwe Content Security Policy-vermelding invoeren.

Zowel de maximaal toegestane tekenlengte in de standaardwaarde voor de CSP-koptekst als de standaardwaarde voor het maximale aantal CSP-vermeldingen per tenant liggen vast en kunnen niet worden gewijzigd in Qlik Cloud.

Een Content Security Policy-vermelding maken

InformatiePer tenant zijn maximaal 256 Content Security Policy-vermeldingen toegestaan.

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en klik rechtsboven op Toevoegen.

  2. In het dialoogvenster dat verschijnt, geeft u Content Security Policy een naam.

  3. Typ het adres van de oorsprong in een van de volgende indelingen:

    • domain.com

    • *.domain.com

    Qlik Sense dwingt HTTPS af.

  4. Selecteer de op de oorsprong toepasselijke richtlijn.

    InformatieU kunt verschillende richtlijnen toevoegen.
  5. Klik op Toevoegen.
InformatieGebruikers die de client gebruiken wanneer een Content Security Policy wordt gemaakt of bewerkt, moeten hun browser vernieuwen om de wijzigingen te kunnen weergeven.

Een Content Security Policy-vermelding bewerken

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en selecteer de CSP-vermelding die u wilt bewerken. Klik vervolgens op Bewerken.
  2. Wijzig in het dialoogvenster de gewenste opties voor de CSP-vermelding.
  3. Klik op Opslaan.
InformatieGebruikers die de client gebruiken wanneer een Content Security Policy wordt gemaakt of bewerkt, moeten hun browser vernieuwen om de wijzigingen te kunnen weergeven.

Een Content Security Policy-vermelding verwijderen

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en selecteer de CSP-vermelding die u wilt verwijderen. Klik vervolgens op Verwijderen.

    InformatieU kunt verschillende items tegelijkertijd verwijderen.
  2. Bevestig dat u de CSP-vermelding wilt verwijderen.

De Content Security Policy-koptekst kopiëren

InformatieIn de koptekst van de Content Security Policy zijn maximaal 6,144 tekens toegestaan.

Doe het volgende:

  1. Ga in de Beheerconsole naar de sectie Content Security Policy en klik op Koptekst weergeven.
  2. Klik in het dialoogvenster op Naar klembord kopiëren.
  3. Klik op Gereed.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback