Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik

Zarządzanie Content Security Policy

Kontroluj Politykę bezpieczeństwa zawartości (Content Security Policy, CSP) i zarządzaj nią w Qlik Cloud, aby zwiększyć ochronę przed takimi atakami jak Cross Site Scripting (XSS) i wstrzykiwanie danych.

Qlik Cloud wykorzystuje funkcję Content Security Policy (CSP) poziomu 2, która zapewnia dodatkowe zabezpieczenia umożliwiające wykrywanie i łagodzenie niektórych rodzajów ataków, w tym ataków typu XSS i wstrzykiwanie danych. Ataki te mogą prowadzić do kradzieży danych, zmiany zawartości witryn oraz rozpowszechniania złośliwego oprogramowania.

CSP umożliwia administratorom dzierżawy kontrolowanie zasobów, które rozszerzenie lub kompozycja mogą ładować na potrzeby danej strony. Zasady te obejmują zwykle określanie pochodzenia serwera i punktów końcowych skryptu. Pochodzenie rozszerzeń lub kompozycji zawierających łącza do zasobów zewnętrznych musi znajdować się na liście dozwolonych w CSP.

Aby uzyskać więcej informacji, zobacz MDN Web Docs: Content Security Policy (CSP).

Dyrektywy

Dyrektywy kontrolują lokalizacje, z których mogą być ładowane określone typy zasobów. Obsługiwane są następujące dyrektywy:

Dyrektywy
Dyrektywa Opis

child-src

Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>.

Używaj frame-src oraz worker-src, aby uzyskać bardziej szczegółową kontrolę.

form-action

Ogranicza adresy URL, których można używać jako celu przesyłania z danego kontekstu.

media-src

Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>.

style-src

Określa prawidłowe źródła arkuszy stylów.

connect-src

Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych.

frame-src

Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>.
frame-ancestors Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet>.

object-src

Określa prawidłowe źródła elementów <object>, <embed> i <applet>.

Elementy kontrolowane przez dyrektywę object-src są uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji, takich jak atrybuty zabezpieczeń sandbox lub allow dla <iframe>. Zaleca się ograniczenie tej dyrektywy pobierania, na przykład w miarę możliwości przez ustawienie jawnie object-src 'none'.

worker-src

Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker.

font-src

Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face.

image-src

Określa prawidłowe źródła obrazów i ikon favicon.

script-src

Określa prawidłowe źródła skryptów JavaScript.

Domyślna CSP Qlik Cloud

Qlik Cloud ma domyślną CSP, która obejmuje domeny z bezpiecznej listy. Na przykład możesz używać grafik z następujących domen bez konieczności dodawania ich do CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Pełna lista domyślnych domen znajduje się w temacie Dodawanie do listy dozwolonych nazw domen i adresów IP.

Wpisy CSP oraz limity nagłówków

Maksymalna liczba wpisów CSP na dzierżawę i maksymalna liczba znaków dozwolona w nagłówku CSP są wbudowane i nie można ich zmienić.

  • Maksimum wpisów: do 256 wpisów CSP na dzierżawę. Jeśli przekroczysz ten limit, usuń zbędne wpisy przed dodaniem nowych.

  • Długość nagłówka: nagłówek CSP może mieć długość do 6144 znaków. Jeśli przekroczysz ten limit, usuń zbędne wpisy przed dodaniem nowych.

Tworzenie wpisu w CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
  2. Kliknij Dodaj.

  3. Podaj nazwę.

  4. Wprowadź pochodzenie w jednym z następujących formatów:

    • domain.com

    • *.domain.com

    InformacjaQlik Sense wymusza HTTPS.

  5. Wybierz odpowiednie dyrektywy.

  6. Kliknij Dodaj.

Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.

Edytowanie wpisu w CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
  2. Znajdź pozycję CSP do edycji, kliknij Więcej i wybierz Edytuj.
  3. W razie potrzeby zmień opcje CSP.
  4. Kliknij przycisk Zapisz.

Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.

Usuwanie wpisu w CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.

  2. Wybierz pozycje CSP do usunięcia, a następnie kliknij Usuń.

  3. Potwierdź usunięcie.

Wyświetlanie i kopiowanie nagłówka CSP

Wykonaj następujące czynności:

  1. W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
  2. Kliknij pozycję Wyświetl nagłówek.
  3. W oknie dialogowym kliknij pozycję Kopiuj do schowka.
  4. Kliknij przycisk Gotowe.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!

Przekaż tu opinię