Zarządzanie Content Security Policy (CSP)
Kontroluj Politykę bezpieczeństwa zawartości (Content Security Policy, CSP) i zarządzaj nią w Qlik Cloud, aby zwiększyć ochronę przed takimi atakami jak Cross Site Scripting (XSS) i wstrzykiwanie danych.
Qlik Cloud wykorzystuje funkcję Content Security Policy (CSP) poziomu 2, która zapewnia dodatkowe zabezpieczenia umożliwiające wykrywanie i łagodzenie niektórych rodzajów ataków, w tym ataków typu XSS i wstrzykiwanie danych. Ataki te mogą prowadzić do kradzieży danych, zmiany zawartości witryn oraz rozpowszechniania złośliwego oprogramowania.
CSP umożliwia administratorom dzierżawy kontrolowanie zasobów, które rozszerzenie lub kompozycja mogą ładować na potrzeby danej strony. Zasady te obejmują zwykle określanie pochodzenia serwera i punktów końcowych skryptu. Pochodzenie rozszerzeń lub kompozycji zawierających łącza do zasobów zewnętrznych musi znajdować się na liście dozwolonych w CSP.
Aby uzyskać więcej informacji, zobacz MDN Web Docs: Content Security Policy (CSP).
Dyrektywy
Dyrektywy kontrolują lokalizacje, z których mogą być ładowane określone typy zasobów. Obsługiwane są następujące dyrektywy:
Dyrektywa | Opis |
---|---|
child-src |
Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>. Używaj frame-src oraz worker-src, aby uzyskać bardziej szczegółową kontrolę. |
form-action |
Ogranicza adresy URL, których można używać jako celu przesyłania z danego kontekstu. |
media-src |
Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>. |
style-src |
Określa prawidłowe źródła arkuszy stylów. |
connect-src |
Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych. |
frame-src |
Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>. |
frame-ancestors | Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet>. |
object-src |
Określa prawidłowe źródła elementów <object>, <embed> i <applet>. Elementy kontrolowane przez dyrektywę object-src są uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji, takich jak atrybuty zabezpieczeń sandbox lub allow dla <iframe>. Zaleca się ograniczenie tej dyrektywy pobierania, na przykład w miarę możliwości przez ustawienie jawnie object-src 'none'. |
worker-src |
Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker. |
font-src |
Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face. |
image-src |
Określa prawidłowe źródła obrazów i ikon favicon. |
script-src |
Określa prawidłowe źródła skryptów JavaScript. |
Domyślna CSP Qlik Cloud
Qlik Cloud ma domyślną CSP, która obejmuje domeny z bezpiecznej listy. Na przykład możesz używać grafik z następujących domen bez konieczności dodawania ich do CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Pełna lista domyślnych domen znajduje się w temacie Dodawanie do listy dozwolonych nazw domen i adresów IP.
Wpisy CSP oraz limity nagłówków
Maksymalna liczba wpisów CSP na dzierżawę i maksymalna liczba znaków dozwolona w nagłówku CSP są wbudowane i nie można ich zmienić.
-
Maksimum wpisów: do 256 wpisów CSP na dzierżawę. Jeśli przekroczysz ten limit, usuń zbędne wpisy przed dodaniem nowych.
-
Długość nagłówka: nagłówek CSP może mieć długość do 6144 znaków. Jeśli przekroczysz ten limit, usuń zbędne wpisy przed dodaniem nowych.
Tworzenie wpisu w CSP
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
- Kliknij Dodaj.
-
Podaj nazwę.
-
Wprowadź pochodzenie w jednym z następujących formatów:
-
domain.com
-
*.domain.com
InformacjaQlik Sense wymusza HTTPS. -
-
Wybierz odpowiednie dyrektywy.
- Kliknij Dodaj.
Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.
Edytowanie wpisu w CSP
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
- Znajdź pozycję CSP do edycji, kliknij i wybierz Edytuj.
- W razie potrzeby zmień opcje CSP.
- Kliknij przycisk Zapisz.
Użytkownicy muszą odświeżyć przeglądarkę, aby zmiany zaczęły obowiązywać.
Usuwanie wpisu w CSP
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
-
Wybierz pozycje CSP do usunięcia, a następnie kliknij Usuń.
- Potwierdź usunięcie.
Wyświetlanie i kopiowanie nagłówka CSP
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie przejdź do pozycji Content Security Policy.
- Kliknij pozycję Wyświetl nagłówek.
- W oknie dialogowym kliknij pozycję Kopiuj do schowka.
- Kliknij przycisk Gotowe.