Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik
Ładowanie wyszukiwania SearchUnify Jeżeli potrzebujesz pomocy z produktem, skontaktuj się z Pomocą techniczną Qlik.
Portal klientów Qlik
Ładowanie wyszukiwania SearchUnify Jeżeli potrzebujesz pomocy z produktem, skontaktuj się z Pomocą techniczną Qlik.
Portal klientów Qlik

Zarządzanie zasadami zabezpieczeń zawartości (CSP)

Kontroluj i zarządzaj swoją Polityką Bezpieczeństwa Zawartości (CSP) w Qlik Cloud, aby zmniejszyć ryzyko zagrożeń bezpieczeństwa, takich jak Cross Site Scripting (XSS) i wstrzykiwanie danych.

Qlik Cloud używa Polityki Bezpieczeństwa Zawartości (CSP) Poziom 2. CSP zapewnia dodatkową warstwę bezpieczeństwa, ograniczając, które zasoby zewnętrzne mogą być ładowane przez aplikacje, rozszerzenia i kompozycje. Poprzez ograniczenie dozwolonych źródeł i typów zasobów, CSP pomaga zapobiegać wykonywaniu złośliwego kodu, kradzieży danych, zniekształceniu witryny i dystrybucji złośliwego oprogramowania.

Administratorzy z wymaganymi uprawnieniami mogą używać CSP do kontrolowania, które zasoby zewnętrzne mogą ładować rozszerzenia i kompozycje. Jeśli rozszerzenie lub kompozycja żąda zasobów z zewnętrznych źródeł, te źródła muszą zostać jawnie dodane do CSP listy dozwolonych.

Aby uzyskać więcej informacji na temat CSP, zobacz MDN Web Docs: Content Security Policy (CSP).

Wymagane uprawnienia

Aby zarządzać wpisami zasad zabezpieczeń zawartości, musisz mieć jedną z następujących ról:

  • Rola Administratora dzierżawy

  • Niestandardowa rola, która obejmuje uprawnienie Admin CSP

Dyrektywy

Dyrektywy definiują, które źródła są dozwolone dla określonych typów zasobów. Obsługiwane są następujące dyrektywy:

CSP dyrektywy
Dyrektywa Opis

child-src

Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>. Używaj frame-src oraz worker-src, aby uzyskać bardziej szczegółową kontrolę.

connect-src

Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych.

font-src

Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face.

form-action

Ogranicza adresy URL, których można używać jako celu przesyłania z danego kontekstu.
frame-ancestors Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet> elementów.

frame-src

Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>.

img-src

Określa prawidłowe źródła obrazów i ikon favicon.

media-src

Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>.

object-src

Określa prawidłowe źródła elementów <object>, <embed> i <applet>.

Elementy kontrolowane przez dyrektywę object-src są uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji, takich jak atrybuty zabezpieczeń sandbox lub allow dla <iframe>. Zaleca się ograniczenie tej dyrektywy pobierania, na przykład w miarę możliwości przez ustawienie object-src 'none'.

script-src

Określa prawidłowe źródła skryptów JavaScript.

style-src

Określa prawidłowe źródła arkuszy stylów.

worker-src

Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker.

Qlik Cloud domyślne CSP

Qlik Cloud zawiera domyślną Politykę bezpieczeństwa treści z zestawem dozwolonych domen. Zasoby z tych domen mogą być używane bez dodawania wpisów CSP.

Przykłady obejmują:

  • *.qlikcloud.com – podstawowe usługi i interfejsy API Qlik Cloud

  • cdn.pendo.io – zawartość powiadomień

  • gravatar.com – ikony profilu użytkownika

Pełną listę zawiera temat Dodawanie domen i adresów IP do białej listy.

Wpisy CSP oraz limity nagłówków

Następujące limity są wbudowane i nie można ich zmienić. Jeśli osiągniesz którykolwiek z limitów, usuń zbędne lub nieużywane wpisy CSP.

  • Maksymalna liczba wpisów CSP: 256 wpisów na dzierżawę

  • Maksymalna długość nagłówka CSP: 6144 znaków

Tworzenie wpisu w CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do Content Security Policy.
  2. Kliknij Dodaj.

  3. Podaj nazwę.

  4. Wprowadź pochodzenie w jednym z następujących formatów:

    • domain.com

    • *.domain.com

    InformacjaQlik Sense wymusza HTTPS dla CSP wpisów.

  5. Wybierz odpowiednie dyrektywy.

  6. Kliknij Dodaj.

Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.

Edytowanie wpisu funkcji CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do Content Security Policy.
  2. Znajdź pozycję CSP do edycji, kliknij Więcej i wybierz Edytuj.
  3. W razie potrzeby zmień opcje CSP.
  4. Kliknij przycisk Zapisz.

Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.

Usuwanie wpisu funkcji CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do Content Security Policy.

  2. Wybierz pozycje CSP do usunięcia, a następnie kliknij Usuń.

  3. Potwierdź usunięcie.

Wyświetlanie i kopiowanie nagłówka CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do Content Security Policy.
  2. Kliknij pozycję Wyświetl nagłówek.
  3. W oknie dialogowym kliknij pozycję Kopiuj do schowka.
  4. Kliknij przycisk Gotowe.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać!

Przekaż tu opinię