Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qilk

Gerenciando a Content Security Policy

O Qlik Cloud usa Content Security Policy (CSP) Nível 2, que fornece uma camada extra de segurança que ajuda a detectar e atenuar certos tipos de ataques, incluindo XSS (Cross Site Scripting) e ataques de injeção de dados. Esses ataques são usados para tudo, desde roubo de dados até desfiguração de sites e distribuição de malware.

No Qlik Cloud, a CSP permite que os administradores de locatários controlem os recursos que uma extensão ou um tema pode carregar para uma determinada página. Com algumas exceções, as políticas envolvem principalmente a especificação de origens do servidor e pontos de extremidade de script. Se uma extensão ou tema contiver solicitações de recursos para recursos externos, essas deverão ter suas origens adicionadas à lista de permissões no Content Security Policy.

Para gerenciar políticas de segurança de conteúdo no Console de gerenciamento, navegue até a página Content Security Policy.

Para obter mais informações, consulte Docs da Web MDN: Content Security Policy (CSP).

Visão geral do Content Security Policy

Na página Content Security Policy do Console de gerenciamento, as propriedades descritas abaixo são mostradas.

Propriedades do Console de gerenciamento
Propriedade Descrição

Name

Nome da entrada da Content Security Policy.

Origem

Origem do domínio a ser adicionado à lista de permissões.

Diretiva

Diretiva aplicável à origem.

Última atualização

Quando a entrada foi atualizada pela última vez.

Data de criação

Quando a entrada foi criada.

Diretivas

As diretivas controlam locais dos quais certos tipos de recursos podem ser carregados. As diretivas descritas abaixo têm suporte no Qlik Sense Enterprise.

Diretivas no Qlik Sense Enterprise
Diretiva Descrição

child-src

Define as fontes válidas para trabalhadores da Web e contextos de navegação aninhados carregados usando elementos, como <frame> e <iframe>.

Se quiser regular contextos e workers de navegação aninhados, use as diretivas frame-src e worker-src, respectivamente.

form-action

Restringe as URLs que podem ser usadas como destino de envios de formulários de um determinado contexto.

media-src

Especifica fontes válidas para carregar mídia usando os elementos <audio>, <video> e <track>.

style-src

Especifica fontes válidas para folhas de estilo.

connect-src

Restringe as URLs que podem ser carregadas usando interfaces de script.

frame-src

Especifica fontes válidas para o carregamento de contextos de navegação aninhados usando elementos, como <frame> e <iframe>.
frame-ancestors Especifica fontes válidas para incorporar o recurso usando <frame>, <iframe>, <object>, <embed> e <applet>.

object-src

Especifica fontes válidas para os elementos <object>, <embed> e <applet>.

Os elementos controlados por object-src talvez sejam coincidentemente considerados elementos HTML herdados e não estejam recebendo novos recursos padronizados (como a caixa de atributos de segurança ou permitem <iframe>). Portanto, recomenda-se restringir essa diretiva de busca (por exemplo, definir explicitamente object-src 'none' se possível).

worker-src

Especifica fontes válidas para scripts Worker, SharedWorker ou ServiceWorker.

font-src

Especifica fontes válidas para fontes carregadas usando @font-face.

image-src

Especifica fontes válidas de imagens e ícones favoritos.

script-src

Especifica fontes válidas para JavaScript.

Política de segurança de conteúdo padrão do Qlik Cloud

O Qlik Cloud tem uma CSP padrão para todos os usuários, que inclui domínios que estão listados de forma segura. Por exemplo, você pode usar imagens dos seguintes domínios sem precisar adicioná-las à sua própria política de segurança de conteúdo. Imagens obtidas de outras fontes devem ter seus domínios adicionados à política de segurança de conteúdo.

Orignes padrão para imagens e favicons no Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Para obter uma lista de outros domínios padrão disponíveis para todos os usuários do Qlik Cloud, consulte Permitir nomes de domínio e endereços IP.

Considerações sobre entradas e comprimento de header da Content Security Policy

O número máximo de entradas de Content Security Policy permitidas por locatário é 256. Se você receber uma mensagem de erro por exceder o número permitido de entradas de Content Security Policy, poderá remover entradas redundantes de Content Security Policy e, em seguida, adicionar sua nova entrada de Content Security Policy.

O comprimento máximo do header Content Security Policy é 3.072 caracteres. Se você receber uma mensagem de erro por exceder o comprimento do header Content Security Policy ao adicionar uma nova entrada de Content Security Policy, poderá remover entradas redundantes de Content Security Policy e, em seguida, adicionar sua nova entrada de Content Security Policy.

O número máximo de caracteres permitidos no valor padrão do header CSP e o número máximo de entradas de CSP permitidas por valor padrão de locatário são internos e não podem ser alterados no Qlik Cloud.

Criando uma entrada da Content Security Policy

Nota informativaNo máximo 256 entradas de Content Security Policy são permitidas por locatário.

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e clique em Adicionar no canto superior direito.

  2. No diálogo, atribua um nome à Content Security Policy.

  3. Digite o endereço de origem em um dos seguintes formatos:

    • domain.com

    • *.domain.com

    Qlik Sense força HTTPS.

  4. Selecione a diretiva aplicável para a origem.

    Nota informativaVocê pode adicionar várias diretivas.
  5. Clique em Adicionar.
Nota informativaOs usuários que estão usando o cliente quando uma Content Security Policy é criada ou editada precisam atualizar o navegador para que as alterações tenham efeito.

Editando uma entrada da Content Security Policy

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy.
  2. Localize a entrada CSP que deseja editar, clique em Mais e selecione Editar.
  3. No diálogo, altere as opções da entrada CSP conforme desejado.
  4. Clique em Salvar.
Nota informativaOs usuários que estão usando o cliente quando uma Content Security Policy é criada ou editada precisam atualizar o navegador para que as alterações tenham efeito.

Excluindo uma entrada da Content Security Policy

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e selecione a entrada CSP que você deseja remover e clique em Excluir.

    Nota informativaVocê pode remover vários itens por vez.
  2. Confirme que você deseja excluir a entrada da CSP.

Copiando o cabeçalho da Content Security Policy

Nota informativaNo máximo 6,144 caracteres são permitidos no header Content Security Policy.

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e clique em Mostrar cabeçalho.
  2. No diálogo, clique em Copiar para área de transferência.
  3. Clique em Concluído.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Deixe seu feedback aqui