Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qlik
Carregando a pesquisa do SearchUnify Se precisar de assistência com seu produto, entre em contato com o Suporte Qlik.
Qlik Customer Portal
Carregando a pesquisa do SearchUnify Se precisar de assistência com seu produto, entre em contato com o Suporte Qlik.
Qlik Customer Portal

Gerenciando a Política de segurança de conteúdo (CSP)

Controle e gerencie sua Content Security Policy (CSP) no Qlik Cloud para reduzir o risco de ameaças à segurança, como ataques de cross-site scripting (XSS) e injeção de dados.

Qlik Cloud usa a Content Security Policy (CSP) Nível 2. A CSP fornece uma camada adicional de segurança ao restringir quais recursos externos podem ser carregados por aplicativos, extensões e temas. Ao limitar as origens permitidas e os tipos de recursos, a CSP ajuda a prevenir a execução de código malicioso, roubo de dados, desfiguração de site e distribuição de malware.

Administradores com as permissões necessárias podem usar a CSP para controlar quais recursos externos extensões e temas têm permissão para carregar. Se uma extensão ou tema solicitar recursos de origens externas, essas origens deverão ser adicionadas explicitamente à lista de permissões da CSP.

Para obter mais informações sobre CSP, consulte Docs da Web MDN: Content Security Policy (CSP).

Permissões necessárias

Para gerenciar entradas da Content Security Policy, você deve ter um dos seguintes:

  • A função de Administrador de Locatários

  • Uma função personalizada que inclui a permissão de Administrador de CSP

Diretivas

Diretivas definem quais fontes são permitidas para tipos específicos de recursos. As seguintes diretivas são compatíveis:

Diretivas de CSP
Diretiva Descrição

child-src

Define as fontes válidas para trabalhadores da Web e contextos de navegação aninhados carregados usando elementos, como <frame> e <iframe>. Use frame-src e worker-src para obter um controle mais específico.

connect-src

Restringe as URLs que podem ser carregadas usando interfaces de script.

font-src

Especifica fontes válidas para fontes carregadas usando @font-face.

form-action

Restringe as URLs que podem ser usadas como destino de envios de um determinado contexto.
frame-ancestors Especifica fontes válidas para incorporar o recurso usando os elementos <frame>, <iframe>, <object>, <embed> e <applet>.

frame-src

Especifica fontes válidas para contextos de navegação aninhados usando elementos, como <frame> e <iframe>.

img-src

Especifica fontes válidas de imagens e ícones favoritos.

media-src

Especifica fontes válidas para carregar mídia usando os elementos <audio>, <video> e <track>.

object-src

Especifica fontes válidas para os elementos <object>, <embed> e <applet>.

Os elementos controlados por object-src são considerados elementos HTML herdados e não estão recebendo novos recursos padronizados, como os atributos de segurança sandbox ou allow para <iframe>. Recomenda-se restringir esta diretiva de busca sempre que possível, por exemplo, definindo object-src 'none'.

script-src

Especifica fontes válidas para JavaScript.

style-src

Especifica fontes válidas para folhas de estilo.

worker-src

Especifica fontes válidas para scripts Worker, SharedWorker ou ServiceWorker.

Qlik Cloud padrão do CSP

O Qlik Cloud inclui uma Content Security Policy padrão com um conjunto de domínios permitidos. Recursos desses domínios podem ser usados sem adicionar entradas de CSP.

Exemplos incluem:

  • *.qlikcloud.com – serviços e APIs principais do Qlik Cloud

  • cdn.pendo.io – conteúdo de notificação

  • gravatar.com – ícones de perfil de usuário

Consulte Colocando domínios e endereços IP em listas de permissões para obter uma lista completa.

Entradas da CSP e limites de cabeçalho

Os seguintes limites são incorporados e não podem ser alterados. Se você atingir qualquer um dos limites, remova entradas CSP redundantes ou não utilizadas.

  • Número máximo de entradas da CSP: 256 entradas por locatário

  • Comprimento máximo do cabeçalho da CSP: 6.144 caracteres

Criando uma entrada da CSP

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Política de segurança de conteúdo.
  2. Clique em Adicionar.

  3. Forneça um nome.

  4. Digite a origem em um dos seguintes formatos:

    • domain.com

    • *.domain.com

    Nota informativaQlik Sense impõe HTTPS para entradas da CSP.

  5. Selecione as diretivas aplicáveis.

  6. Clique em Adicionar.

Os usuários devem atualizar o navegador para que as alterações entrem em vigor.

Editando uma entrada da CSP

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Política de segurança de conteúdo.
  2. Localize a entrada CSP que deseja editar, clique em Mais e selecione Editar.
  3. Altere as opções de CSP conforme necessário.
  4. Clique em Salvar.

Os usuários devem atualizar o navegador para que as alterações entrem em vigor.

Excluindo uma entrada da CSP

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Política de segurança de conteúdo.

  2. Selecione as entradas CSP que você deseja remover e clique em Excluir.

  3. Confirme a exclusão.

Exibindo e copiando o cabeçalho da CSP

Faça o seguinte:

  1. No centro de atividades de Administração, acesse Política de segurança de conteúdo.
  2. Clique em Exibir cabeçalho.
  3. No diálogo, clique em Copiar para área de transferência.
  4. Clique em Concluído.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo – um erro de digitação, uma etapa ausente ou um erro técnico – avise-nos!

Deixe seu feedback aqui