Gerenciando a Content Security Policy (CSP)
Controle e gerencie sua Content Security Policy (CSP) no Qlik Cloud para aprimorar a proteção contra ataques como Cross Site Scripting (XSS) e injeção de dados.
O Qlik Cloud usa Content Security Policy (CSP) Nível 2, que fornece uma camada extra de segurança que ajuda a detectar e atenuar certos tipos de ataques, incluindo XSS e injeção de dados. Esses ataques podem levar ao roubo de dados, à desfiguração de sites e à distribuição de malware.
A CSP permite que os administradores de locatários controlem os recursos que uma extensão ou um tema pode carregar para uma determinada página. Geralmente as políticas envolvem a especificação de origens do servidor e pontos de extremidade de script. Se uma extensão ou tema contiver solicitações de recursos para recursos externos, essas origens deverão ser adicionadas à lista de permissões na CSP.
Para obter mais informações, consulte Docs da Web MDN: Content Security Policy (CSP).
Diretivas
As diretivas controlam as localizações das quais certos tipos de recursos podem ser carregados. As seguintes diretivas são compatíveis:
Diretiva | Descrição |
---|---|
child-src |
Define as fontes válidas para trabalhadores da Web e contextos de navegação aninhados carregados usando elementos, como <frame> e <iframe>. Use frame-src e worker-src para obter um controle mais específico. |
form-action |
Restringe as URLs que podem ser usadas como destino de envios de um determinado contexto. |
media-src |
Especifica fontes válidas para carregar mídia usando os elementos <audio>, <video> e <track>. |
style-src |
Especifica fontes válidas para folhas de estilo. |
connect-src |
Restringe as URLs que podem ser carregadas usando interfaces de script. |
frame-src |
Especifica fontes válidas para contextos de navegação aninhados usando elementos, como <frame> e <iframe>. |
frame-ancestors | Especifica fontes válidas para incorporar o recurso usando <frame>, <iframe>, <object>, <embed> e <applet>. |
object-src |
Especifica fontes válidas para os elementos <object>, <embed> e <applet>. Os elementos controlados por object-src são considerados elementos HTML herdados e não estão recebendo novos recursos padronizados, como os atributos de segurança sandbox ou allow para <iframe>. Portanto, recomenda-se restringir essa diretiva de busca, por exemplo, definir explicitamente object-src 'none', se possível. |
worker-src |
Especifica fontes válidas para scripts Worker, SharedWorker ou ServiceWorker. |
font-src |
Especifica fontes válidas para fontes carregadas usando @font-face. |
image-src |
Especifica fontes válidas de imagens e ícones favoritos. |
script-src |
Especifica fontes válidas para JavaScript. |
CSP padrão do Qlik Cloud
O Qlik Cloud tem uma CSP padrão que inclui domínios listados como seguros. Por exemplo, você pode usar imagens dos seguintes domínios sem adicioná-las à sua CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Para obter uma lista completa dos domínios padrão, consulte Permitir nomes de domínio e endereços IP.
Entradas de CSP e limites de cabeçalho
Os valores para o número máximo de entradas de CSP por locatário e o número máximo de caracteres no cabeçalho da CSP são integrados e não podem ser alterados.
-
Máximo de entradas: até 256 entradas de CSP por locatário. Se exceder esse limite, remova as entradas redundantes antes de adicionar novas entradas.
-
Comprimento do cabeçalho: o cabeçalho da CSP pode ter até 6.144 caracteres. Se você exceder esse limite, remova as entradas redundantes antes de adicionar novas entradas.
Criando uma entrada de CSP
Faça o seguinte:
- No centro de atividades de Administração, vá para Content Security Policy.
- Clique em Adicionar.
-
Forneça um nome.
-
Digite a origem em um dos seguintes formatos:
-
domain.com
-
*.domain.com
Nota informativaQlik Sense força HTTPS. -
-
Selecione as diretivas aplicáveis.
- Clique em Adicionar.
Os usuários devem atualizar o navegador para que as alterações entrem em vigor.
Editando uma entrada de CSP
Faça o seguinte:
- No centro de atividades de Administração, vá para Content Security Policy.
- Localize a entrada CSP que deseja editar, clique em e selecione Editar.
- Altere as opções de CSP conforme necessário.
- Clique em Salvar.
Os usuários devem atualizar o navegador para que as alterações entrem em vigor.
Excluindo uma entrada de CSP
Faça o seguinte:
-
No centro de atividades de Administração, vá para Content Security Policy.
-
Selecione as entradas CSP que você deseja remover e clique em Excluir.
- Confirme a exclusão.
Exibindo e copiando o cabeçalho da CSP
Faça o seguinte:
- No centro de atividades de Administração, vá para Content Security Policy.
- Clique em Exibir cabeçalho.
- No diálogo, clique em Copiar para área de transferência.
- Clique em Concluído.