Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qlik

Gerenciando o Content Security Policy

Controle e gerencie sua Content Security Policy (CSP) no Qlik Cloud para aprimorar a proteção contra ataques como Cross Site Scripting (XSS) e injeção de dados.

O Qlik Cloud usa Content Security Policy (CSP) Nível 2, que fornece uma camada extra de segurança que ajuda a detectar e atenuar certos tipos de ataques, incluindo XSS e injeção de dados. Esses ataques podem levar ao roubo de dados, à desfiguração de sites e à distribuição de malware.

A CSP permite que os administradores de locatários controlem os recursos que uma extensão ou um tema pode carregar para uma determinada página. Geralmente as políticas envolvem a especificação de origens do servidor e pontos de extremidade de script. Se uma extensão ou tema contiver solicitações de recursos para recursos externos, essas origens deverão ser adicionadas à lista de permissões na CSP.

Para obter mais informações, consulte Docs da Web MDN: Content Security Policy (CSP).

Diretivas

As diretivas controlam as localizações das quais certos tipos de recursos podem ser carregados. As seguintes diretivas são compatíveis:

Diretivas
Diretiva Descrição

child-src

Define as fontes válidas para trabalhadores da Web e contextos de navegação aninhados carregados usando elementos, como <frame> e <iframe>.

Use frame-src e worker-src para obter um controle mais específico.

form-action

Restringe as URLs que podem ser usadas como destino de envios de um determinado contexto.

media-src

Especifica fontes válidas para carregar mídia usando os elementos <audio>, <video> e <track>.

style-src

Especifica fontes válidas para folhas de estilo.

connect-src

Restringe as URLs que podem ser carregadas usando interfaces de script.

frame-src

Especifica fontes válidas para contextos de navegação aninhados usando elementos, como <frame> e <iframe>.
frame-ancestors Especifica fontes válidas para incorporar o recurso usando <frame>, <iframe>, <object>, <embed> e <applet>.

object-src

Especifica fontes válidas para os elementos <object>, <embed> e <applet>.

Os elementos controlados por object-src são considerados elementos HTML herdados e não estão recebendo novos recursos padronizados, como os atributos de segurança sandbox ou allow para <iframe>. Portanto, recomenda-se restringir essa diretiva de busca, por exemplo, definir explicitamente object-src 'none', se possível.

worker-src

Especifica fontes válidas para scripts Worker, SharedWorker ou ServiceWorker.

font-src

Especifica fontes válidas para fontes carregadas usando @font-face.

image-src

Especifica fontes válidas de imagens e ícones favoritos.

script-src

Especifica fontes válidas para JavaScript.

CSP padrão do Qlik Cloud

O Qlik Cloud tem uma CSP padrão que inclui domínios listados como seguros. Por exemplo, você pode usar imagens dos seguintes domínios sem adicioná-las à sua CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Para obter uma lista completa dos domínios padrão, consulte Permitir nomes de domínio e endereços IP.

Entradas de CSP e limites de cabeçalho

Os valores para o número máximo de entradas de CSP por locatário e o número máximo de caracteres no cabeçalho da CSP são integrados e não podem ser alterados.

  • Máximo de entradas: até 256 entradas de CSP por locatário. Se exceder esse limite, remova as entradas redundantes antes de adicionar novas entradas.

  • Comprimento do cabeçalho: o cabeçalho da CSP pode ter até 6.144 caracteres. Se você exceder esse limite, remova as entradas redundantes antes de adicionar novas entradas.

Criando uma entrada de CSP

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Content Security Policy.
  2. Clique em Adicionar.

  3. Forneça um nome.

  4. Digite a origem em um dos seguintes formatos:

    • domain.com

    • *.domain.com

    Nota informativaQlik Sense força HTTPS.

  5. Selecione as diretivas aplicáveis.

  6. Clique em Adicionar.

Os usuários devem atualizar o navegador para que as alterações entrem em vigor.

Editando uma entrada de CSP

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Content Security Policy.
  2. Localize a entrada CSP que deseja editar, clique em Mais e selecione Editar.
  3. Altere as opções de CSP conforme necessário.
  4. Clique em Salvar.

Os usuários devem atualizar o navegador para que as alterações entrem em vigor.

Excluindo uma entrada de CSP

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Content Security Policy.

  2. Selecione as entradas CSP que você deseja remover e clique em Excluir.

  3. Confirme a exclusão.

Exibindo e copiando o cabeçalho da CSP

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Content Security Policy.
  2. Clique em Exibir cabeçalho.
  3. No diálogo, clique em Copiar para área de transferência.
  4. Clique em Concluído.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Deixe seu feedback aqui