Перейти к основному содержимому

Управление Content Security Policy

SaaS-выпуски Qlik Sense используют Content Security Policy (CSP) уровня 2. Это еще один уровень защиты, позволяющий обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и ограничивать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.

В Qlik Sense Enterprise CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники следует добавить в список разрешений в Content Security Policy.

Для управления политиками безопасности содержимого откройте в Management Console страницу Content Security Policy.

Для получения дополнительной информации см. веб-документацию MDN: Политика безопасности содержимого (CSP).

Обзор Content Security Policy

На странице Content Security Policy Management Console показаны свойства, описанные ниже.

Свойства консоли управления
Свойство Описание

Имя

Имя записи в политике безопасности содержимого.

Источник

Источник домена для добавления в список разрешений.

Указатель

Указатель, применимый к источнику.

Последнее обновление

Время последнего обновления записи.

Дата создания

Время создания записи.

Указатели

Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.

Указатели в Qlik Sense Enterprise
Указатель Описание

child-src

Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.

Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src.

form-action

Накладывает ограничение на URL-адреса, используемые в качестве получателя формы, отправляемой из заданного контекста.

media-src

Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>.

style-src

Определяет разрешенные источники для таблиц стилей.

connect-src

Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов.

frame-src

Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.
frame-ancestors Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>.

object-src

Определяет разрешенные источники для элементов <object>, <embed> и <applet>.

Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none').

worker-src

Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.

font-src

Определяет разрешенные источники для шрифтов, загружаемых через @font-face.

image-src

Определяет разрешенные источники для изображений и значков веб-сайтов.

script-src

Определяет разрешенные источники для JavaScript.

Аспекты количества записей и длины заголовка Content Security Policy

На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Sense Enterprise SaaS.

Создание записи Content Security Policy

Примечание об информацииНа клиента разрешено не более 256 записей Content Security Policy.

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.
  2. В диалоговом окне введите имя для Content Security Policy.

  3. Введите адрес источника в следующем формате: domain.com.

    Qlik Sense принудительно использует HTTPS.

  4. Выберите указатель, применимый к источнику.

    Примечание об информацииМожно добавить несколько указателей.
  5. Щелкните команду Добавить.
Примечание об информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Редактирование записи Content Security Policy

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется изменить, и нажмите Изменить.
  2. Если необходимо, в диалоговом окне измените параметры записи CSP.
  3. Щелкните команду Сохранить.
Примечание об информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Удаление записи Content Security Policy

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.

    Примечание об информацииОдновременно можно удалить несколько элементов.
  2. Подтвердите удаление данной записи CSP.

Копирование заголовка Content Security Policy

Примечание об информацииДлина заголовка Content Security Policy не должна превышать 6,144 символа.

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
  2. В диалоговом окне нажмите Копировать в буфер обмена.
  3. Щелкните Готово.