Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik

Управление политикой безопасности содержимого (Content Security Policy, CSP)

Контролируйте и управляйте своей политикой безопасности содержимого (CSP) в Qlik Cloud, чтобы снизить риск угроз безопасности, таких как межсайтовый скриптинг (XSS) и атаки заражения данных.

Qlik Cloud использует политику безопасности содержимого (CSP) уровня 2. CSP обеспечивает дополнительный слой безопасности, ограничивая внешние ресурсы, которые могут быть загружены приложениями, расширениями и темами. Ограничивая разрешенные источники и типы ресурсов, CSP помогает предотвратить выполнение вредоносного кода, кражу данных, искажение сайтов и распространение вредоносного ПО.

Администраторы с необходимыми разрешениями могут использовать CSP для контроля того, какие внешние ресурсы разрешено загружать расширениям и темам. Если расширение или тема запрашивает ресурсы из внешних источников, эти источники должны быть явно добавлены в CSP список разрешений.

Для получения дополнительной информации о CSP см. MDN Web Docs: Content Security Policy (CSP).

Необходимые разрешения

Для управления записями политики безопасности содержимого необходимо иметь одно из следующего:

  • Роль администратора клиента

  • Пользовательская роль, включающая разрешение Admin CSP

Указатели

Директивы определяют, какие источники разрешены для определенных типов ресурсов. Поддерживаются следующие директивы:

CSP директивы
Директива Описание

child-src

Определяет разрешенные источники для рабочих процессов и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. Для более специфичного контроля используются frame-src и worker-src.

connect-src

Накладывает ограничение на URL-адреса, которые могут загружаться через интерфейсы скриптов.

font-src

Определяет разрешенные источники для шрифтов, загружаемых через @font-face.

form-action

Накладывает ограничение на URL-адреса, используемые в качестве получателя данных, отправляемых из заданного контекста.
frame-ancestors Определяет разрешенные источники для встраивания ресурса с помощью <frame>, <iframe>, <object>, <embed> и <applet> элементов.

frame-src

Определяет разрешенные источники для вложенных контекстов просмотра с использованием таких элементов, как <frame> и <iframe>.

img-src

Определяет разрешенные источники для изображений и значков веб-сайтов.

media-src

Определяет разрешенные источники для загрузки мультимедиа через элементы <audio>, <video> и <track>.

object-src

Определяет разрешенные источники для элементов <object>, <embed> и <applet>.

Элементы, управляемые object-src, считаются устаревшими элементами HTML и не получают новых стандартизованных функций, таких как атрибуты безопасности sandbox или allow для <iframe>. Рекомендуется ограничить эту директиву загрузки, где это возможно, например, установив object-src 'none'.

script-src

Определяет разрешенные источники для JavaScript.

style-src

Определяет разрешенные источники для таблиц стилей.

worker-src

Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.

CSP Qlik Cloud по умолчанию

Qlik Cloud включает политику безопасности содержимого по умолчанию с набором разрешенных доменов. Ресурсы из этих доменов можно использовать без добавления CSP записей.

Примеры включают:

  • *.qlikcloud.com – основные сервисы и API Qlik Cloud

  • cdn.pendo.io – содержимое уведомлений

  • gravatar.com – значки профиля пользователя

Полный список см. в разделе Список разрешенных доменов и IP-адресов.

Записи CSP и ограничения для заголовков

Следующие ограничения встроены и не могут быть изменены. При достижении какого-либо ограничения удалите избыточные или неиспользуемые записи CSP.

  • Максимальное число записей CSP: 256 записей на клиент

  • Максимальная длина заголовка CSP: 6144 символа

Создание записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование выберите Политика безопасности содержимого.
  2. Щелкните команду Добавить.

  3. Укажите имя.

  4. Введите источник в одном из следующих форматов:

    • domain.com

    • *.domain.com

    Примечание к информацииQlik Sense применяет HTTPS для CSP записей.

  5. Выберите применимый указатель.

  6. Щелкните команду Добавить.

Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.

Редактирование записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование выберите Политика безопасности содержимого.
  2. Найдите запись CSP, которую требуется редактировать, щелкните Дополнительно и выберите Изменить.
  3. При необходимости измените параметры CSP.
  4. Нажмите кнопку Сохранить.

Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.

Удаление записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование выберите Политика безопасности содержимого.

  2. Выберите записи CSP, которые требуется удалить, и нажмите кнопку Удалить.

  3. Подтвердите удаление.

Просмотр и копирование заголовка CSP

Выполните следующие действия.

  1. В центре активности Администрирование выберите Политика безопасности содержимого.
  2. Щелкните Просмотреть заголовок.
  3. В диалоговом окне нажмите Копировать в буфер обмена.
  4. Щелкните Готово.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице или с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом!

Оставьте свой отзыв здесь