Ir para conteúdo principal

Gerenciando a Content Security Policy

As edições SaaS do Qlik Sense usam a Content Security Policy (CSP) Nível 2, que fornece uma camada extra de segurança que ajuda a detectar e atenuar certos tipos de ataques, incluindo XSS (Cross Site Scripting) e ataques de injeção de dados. Esses ataques são usados para tudo, desde roubo de dados até desfiguração de sites e distribuição de malware.

No Qlik Sense Enterprise, a CSP permite que os administradores de locatários controlem os recursos que uma extensão ou um tema pode carregar para uma determinada página. Com algumas exceções, as políticas envolvem principalmente a especificação de origens do servidor e pontos de extremidade de script. Se uma extensão ou tema contiver solicitações de recursos para recursos externos, eles deverão ter suas origens na lista de permissões na Content Security Policy.

Para gerenciar políticas de segurança de conteúdo no Console de gerenciamento, navegue até a página Content Security Policy.

Para obter mais informações, consulte Docs da Web MDN: Content Security Policy (CSP).

Visão geral do Content Security Policy

Na página Content Security Policy do Console de gerenciamento, as propriedades descritas abaixo são mostradas.

Propriedades do Console de gerenciamento
Propriedade Descrição

Name

Nome da entrada da Content Security Policy.

Origem

Origem de domínio para ser inserida na lista de permissões.

Diretiva

Diretiva aplicável à origem.

Última atualização

Quando a entrada foi atualizada pela última vez.

Data de criação

Quando a entrada foi criada.

Diretivas

As diretivas controlam locais dos quais certos tipos de recursos podem ser carregados. As diretivas descritas abaixo têm suporte no Qlik Sense Enterprise.

Diretivas no Qlik Sense Enterprise
Diretiva Descrição

child-src

Define as fontes válidas para trabalhadores da Web e contextos de navegação aninhados carregados usando elementos, como <frame> e <iframe>.

Se quiser regular contextos e workers de navegação aninhados, use as diretivas frame-src e worker-src, respectivamente.

form-action

Restringe as URLs que podem ser usadas como destino de envios de formulários de um determinado contexto.

media-src

Especifica fontes válidas para carregar mídia usando os elementos <audio>, <video> e <track>.

style-src

Especifica fontes válidas para folhas de estilo.

connect-src

Restringe as URLs que podem ser carregadas usando interfaces de script.

frame-src

Especifica fontes válidas para o carregamento de contextos de navegação aninhados usando elementos, como <frame> e <iframe>.
frame-ancestors Especifica fontes válidas para incorporar o recurso usando <frame>, <iframe>, <object>, <embed> e <applet>.

object-src

Especifica fontes válidas para os elementos <object>, <embed> e <applet>.

Os elementos controlados por object-src talvez sejam coincidentemente considerados elementos HTML herdados e não estejam recebendo novos recursos padronizados (como a caixa de atributos de segurança ou permitem <iframe>). Portanto, recomenda-se restringir essa diretiva de busca (por exemplo, definir explicitamente object-src 'none' se possível).

worker-src

Especifica fontes válidas para scripts Worker, SharedWorker ou ServiceWorker.

font-src

Especifica fontes válidas para fontes carregadas usando @font-face.

image-src

Especifica fontes válidas de imagens e ícones favoritos.

script-src

Especifica fontes válidas para JavaScript.

Considerações sobre entradas e comprimento de header da Content Security Policy

O número máximo de entradas de Content Security Policy permitidas por locatário é 256. Se você receber uma mensagem de erro por exceder o número permitido de entradas de Content Security Policy, poderá remover entradas redundantes de Content Security Policy e, em seguida, adicionar sua nova entrada de Content Security Policy.

O comprimento máximo do header Content Security Policy é 3.072 caracteres. Se você receber uma mensagem de erro por exceder o comprimento do header Content Security Policy ao adicionar uma nova entrada de Content Security Policy, poderá remover entradas redundantes de Content Security Policy e, em seguida, adicionar sua nova entrada de Content Security Policy.

O número máximo de caracteres permitidos no valor padrão do header CSP e o número máximo de entradas de CSP permitidas por valor padrão de locatário são internos e não podem ser alterados no Qlik Sense Enterprise SaaS.

Criando uma entrada da Content Security Policy

Nota informativaNo máximo 256 entradas de Content Security Policy são permitidas por locatário.

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e clique em Adicionar no canto superior direito.
  2. No diálogo, atribua um nome à Content Security Policy.

  3. Digite o endereço da origem no seguinte formato: domain.com.

    Qlik Sense força HTTPS.

  4. Selecione a diretiva aplicável para a origem.

    Nota informativaVocê pode adicionar várias diretivas.
  5. Clique em Adicionar.
Nota informativaOs usuários que estão usando o cliente quando uma Content Security Policy é criada ou editada precisam atualizar o navegador para que as alterações tenham efeito.

Editando uma entrada da Content Security Policy

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e selecione a entrada CSP que você deseja editar e clique em Editar.
  2. No diálogo, altere as opções de entrada da CSP conforme desejado.
  3. Clique em Salvar.
Nota informativaOs usuários que estão usando o cliente quando uma Content Security Policy é criada ou editada precisam atualizar o navegador para que as alterações tenham efeito.

Excluindo uma entrada da Content Security Policy

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e selecione a entrada CSP que você deseja remover e clique em Excluir.

    Nota informativaVocê pode remover vários itens por vez.
  2. Confirme que você deseja excluir a entrada da CSP.

Copiando o cabeçalho da Content Security Policy

Nota informativaNo máximo 3.072 caracteres são permitidos no header Content Security Policy.

Faça o seguinte:

  1. No Console de gerenciamento, acesse a seção Content Security Policy e clique em Mostrar cabeçalho.
  2. No diálogo, clique em Copiar para área de transferência.
  3. Clique em Concluído.