Przeskocz do zawartości głównej

Zarządzanie Content Security Policy

W wersjach SaaS Qlik Sense stosowana jest funkcja Content Security Policy (CSP) poziomu 2., która zapewnia dodatkowe zabezpieczenia umożliwiające wykrywanie i łagodzenie niektórych rodzajów ataków, w tym ataków typu Cross Site Scripting (XSS) i wstrzykiwanie danych. Ataki te są wykorzystywane do różnych celów: od kradzieży danych przez niszczenie witryn po dystrybucję złośliwego oprogramowania.

Funkcja CSP w Qlik Sense Enterprise umożliwia administratorom dzierżawy kontrolowanie zasobów, które rozszerzenie lub kompozycja mogą ładować na potrzeby danej strony. Z kilkoma wyjątkami zasady te obejmują przede wszystkim określanie pochodzenia serwera i punktów końcowych skryptu. Pochodzenie rozszerzeń lub kompozycji zawierających łącza do zasobów zewnętrznych musi znajdować się na liście dozwolonych funkcji Content Security Policy.

Aby zarządzać zasadami bezpieczeństwa zawartości w funkcji Konsola zarządzania, przejdź do strony Content Security Policy.

Więcej informacji, patrz MDN Web Docs: Zasady zabezpieczeń zawartości(CSP).

Przegląd funkcji programu Content Security Policy

Na stronie Content Security Policy funkcji Konsola zarządzania wyświetlane są poniższe właściwości.

Właściwości Konsoli zarządzania
Właściwość Opis

Nazwa

Nazwa wpisu zasad zabezpieczeń zawartości.

Pochodzenie

Pochodzenie domeny dodawanej do listy dozwolonych.

Dyrektywa

Dyrektywa odnosząca się do pochodzenia.

Ostatnia aktualizacja

Data ostatniej aktualizacji wpisu.

Data utworzenia

Data utworzenia wpisu.

Dyrektywy

Dyrektywy kontrolują lokalizacje, z których mogą być ładowane określone typy zasobów. Dyrektywy opisane poniżej są obsługiwane w Qlik Sense Enterprise.

Dyrektywy w Qlik Sense Enterprise
Dyrektywa Opis

child-src

Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>.

Jeśli chcesz regulować zagnieżdżone konteksty przeglądania i procesy robocze, użyj odpowiednio dyrektyw frame-src i worker-src.

form-action

Ogranicza adresy URL, których można używać jako celu przesyłania formularzy z danego kontekstu.

media-src

Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>.

style-src

Określa prawidłowe źródła arkuszy stylów.

connect-src

Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych.

frame-src

Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>.
frame-ancestors Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet>.

object-src

Określa prawidłowe źródła elementów <object>, <embed> i <applet>.

Elementy kontrolowane przez dyrektywę object-src są być może przypadkowo uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji (takich jak piaskownica atrybutów zabezpieczeń lub zezwalanie na <iframe>). W związku z tym zaleca się ograniczenie tej dyrektywy pobierania (na przykład w miarę możliwości ustaw jawnie object-src 'none').

worker-src

Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker.

font-src

Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face.

image-src

Określa prawidłowe źródła obrazów i ikon favicon.

script-src

Określa prawidłowe źródła skryptów JavaScript.

Uwagi dotyczące długości wpisów i nagłówka Content Security Policy

Maksymalna dopuszczalna liczba wpisów Content Security Policy na jedną dzierżawę wynosi 256. W przypadku otrzymania komunikatu o błędzie z powodu przekroczenia dozwolonej liczby wpisów Content Security Policy można usunąć niepotrzebne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.

Maksymalna długość nagłówka Content Security Policy to 3072 znaki. Jeśli podczas dodawania nowego wpisu Content Security Policy zostanie wyświetlony komunikat o błędzie dotyczącym przekroczenia długości nagłówka Content Security Policy, można usunąć zbędne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.

Maksymalna liczba znaków dozwolona w wartości domyślnej nagłówka CSP oraz maksymalna liczba wpisów CSP dozwolona dla każdej wartości domyślnej dzierżawy są wbudowane i nie można ich zmienić w Qlik Sense Enterprise SaaS.

Tworzenie wpisu funkcji Content Security Policy

InformacjaNa jedną dzierżawę dozwolonych jest maksymalnie 256 wpisów Content Security Policy.

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij Dodaj w prawym górnym rogu.
  2. W oknie dialogowym podaj nazwę elementu Content Security Policy.

  3. Wpisz adres źródła w formacie: domain.com.

    Qlik Sense wymusza HTTPS.

  4. Wybierz dyrektywę dotyczącą pochodzenia.

    InformacjaMożesz dodać kilka dyrektyw.
  5. Kliknij Dodaj.
InformacjaUżytkownicy korzystający z klienta podczas tworzenia lub edytowania Content Security Policy muszą odświeżyć swoją przeglądarkę, aby zmiany zostały zastosowane.

Edytowanie wpisu funkcji Content Security Policy

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i wybierz wpis CSP, który chcesz edytować, a następnie kliknij przycisk Edytuj.
  2. W oknie dialogowym odpowiednio zmień opcje wpisu funkcji CSP.
  3. Kliknij przycisk Zapisz.
InformacjaUżytkownicy korzystający z klienta podczas tworzenia lub edytowania Content Security Policy muszą odświeżyć swoją przeglądarkę, aby zmiany zostały zastosowane.

Usuwanie wpisu funkcji Content Security Policy

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i wybierz wpis funkcji CSP, który chcesz usunąć, a następnie kliknij przycisk Usuń.

    InformacjaJednocześnie możesz usunąć kilka elementów.
  2. Potwierdź, że chcesz usunąć wpis funkcji CSP.

Kopiowanie nagłówka funkcji Content Security Policy

InformacjaNagłówek Content Security Policy może mieć maksymalnie 6,144 znaki.

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij pozycję Wyświetl nagłówek.
  2. W oknie dialogowym kliknij pozycję Kopiuj do schowka.
  3. Kliknij przycisk Gotowe.