Content Security Policy beheren (CSP)
Controleer en beheer uw inhoudbeveiligingsbeleid (CSP) in Qlik Cloud om de bescherming tegen aanvallen als Cross Site Scripting (XSS) en data-injectie te verbeteren.
Qlik Cloud gebruikt Content Security Policy (CSP) niveau 2 waarmee een extra beveiligingslaag wordt geboden die helpt bepaalde typen aanvallen, waaronder XSS en aanvallen met data-injectie, te detecteren en beperken. Deze aanvallen kunnen leiden tot gegevensdiefstal, de beschadiging van sites en de verspreiding van malware.
CSP stelt tenantbeheerders in staat om bronnen te beheren als een uitbreiding of een thema voor een bepaalde pagina kan worden geladen. Beleid omvat meestal het specificeren van server-oorsprongen en scripteindpunten. Oorsprongen van uitbreidingen of thema's die bronverzoeken naar externe bronnen bevatten, moeten zijn opgenomen in de in de acceptatielijst van de CSP.
Ga voor meer informatie naar MDN Web Docs: Content Security Policy (CSP).
Instructies
De beheerlocaties voor instructies van waaruit bepaalde brontypen kunnen worden geladen. De volgende instructies worden gevolgd:
Instructie | Beschrijving |
---|---|
child-src |
Definieert geldige bronnen voor internetwerkers en geneste browsecontexten die worden geladen met behulp van elementen als <frame> en <iframe>. Gebruik frame-src en worker-src voor meer specifieke controle. |
form-action |
Beperkt welke URL's kunnen worden gebruikt als de bestemming van inzendingen vanuit een bepaalde context. |
media-src |
Specificeert geldige bronnen voor het laden van media met behulp van de elementen <audio>, <video> en <track>. |
style-src |
Specificeert geldige bronnen voor opmaakmodellen. |
connect-src |
Beperkt welke URL's kunnen worden geladen met behulp van scriptinterfaces. |
frame-src |
Specificeert de geldige bronnen voor geneste browsecontexten met behulp van elementen als <frame> en <iframe>. |
frame-ancestors | Specificeert geldige bronnen voor het insluiten van de resource met behulp van <frame>, <iframe>, <object>, <embed> en <applet>. |
object-src |
Specificeert geldige bronnen de elementen <object>, <embed> en <applet>. Elementen die worden beheerd door object-src worden beschouwd als verouderde HTML-elementen en ontvangen geen nieuwe gestandaardiseerde functies, zoals de beveiligingskenmerken sandbox of allow voor <iframe>. Het is dan ook raadzaam deze fetch-instructie te beperken, bijvoorbeeld door waar mogelijk expliciet object-src 'none' in te stellen. |
worker-src |
Specificeert geldige bronnen voor Worker, SharedWorker of ServiceWorker scripts. |
font-src |
Specificeert geldige bronnen voor lettertypen die worden geladen met behulp van@font-face. |
image-src |
Specificeert geldige bronnen van afbeeldingen en favicons. |
script-src |
Specificeert geldige bronnen voor JavaScript. |
Standaard inhoudbeveiligingsbeleid (CSP)voor Qlik Cloud
Qlik Cloud heeft een standaard CSP met alle domeinen die op de veilige lijst staan. U kunt bijvoorbeeld afbeeldingen van de volgende domeinen gebruiken zonder dat u ze aan uw eigen CSP moet toevoegen.
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Zie Domeinnamen en IP-adressen op de allowlist plaatsen voor een volledige lijst van standaarddomeinen.
Limieten voor CSP-vermeldingen en -kopteksten
De waarden voor het maximale aantal CSP-vermeldingen per tenant en het maximale aantal tekens in de CKP-koptekst liggen vast en kunnen niet worden gewijzigd.
-
Maximumaantal vermeldingen: tot 256 CSP-vermeldingen per tenant. Als u dit overschrijdt, verwijder dan overbodige vermeldingen voordat u nieuwe toevoegt.
-
Lengte koptekst: de CSP-koptekst kan maximaal 6.144 tekens lang zijn. Als u dit limiet overschrijdt, verwijder dan overbodige vermeldingen voordat u nieuwe toevoegt.
Een CSP-vermelding maken
Doe het volgende:
- Ga naar Content Security Policy in het Beheer-activiteitencentrum.
- Klik op Toevoegen.
-
Geef een naam op.
-
Geef de oorsprong in een van de volgende indelingen op:
-
domain.com
-
*.domain.com
InformatieQlik Sense dwingt HTTPS af. -
-
Selecteer de toepasselijke richtlijnen.
- Klik op Toevoegen.
Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.
Een CSP-vermelding bewerken
Doe het volgende:
- Ga naar Content Security Policy in het Beheer-activiteitencentrum.
- Zoek de CSP-invoer die u wilt bewerken, klik op en selecteer Bewerken.
- Wijzig de CSP-opties indien nodig.
- Klik op Opslaan.
Gebruikers moeten hun browser vernieuwen om de wijzigingen van kracht te laten worden.
Een CSP-vermelding verwijderen
Doe het volgende:
-
Ga naar Content Security Policy in het Beheer-activiteitencentrum.
-
Selecteer de CSP-vermeldingen die u wilt verwijderen en klik op Verwijderen.
- Bevestig de verwijdering.
De CSP-koptekst weergeven en kopiëren
Doe het volgende:
- Ga naar Content Security Policy in het Beheer-activiteitencentrum.
- Klik op Koptekst weergeven.
- Klik in het dialoogvenster op Naar klembord kopiëren.
- Klik op Gereed.