Перейти к основному содержимому Перейти к дополнительному содержимому

Управление политикой Content Security Policy (CSP)

Управляйте политикой безопасности содержимого (Content Security Policy, CSP) в Qlik Cloud, чтобы усилить защиту от атак, таких как межсайтовый скриптинг (Cross Site Scripting, XSS) и заражение данных.

Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, в том числе XSS и заражение данных, и уменьшать их воздействие. Эти атаки могут привести к краже данных, искажению внешнего вида сайтов и распространению вредоносного ПО.

В CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. Политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники должны быть добавлены в список разрешений в CSP.

Для получения дополнительной информации см. страницу MDN Web Docs: Content Security Policy (CSP) (Веб-документы MDN: политика безопасности содержимого (CSP)).

Директивы

Директивы используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Поддерживаются следующие директивы:

Директивы
Директива Описание

child-src

Определяет разрешенные источники для рабочих процессов и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.

Для более специфичного контроля используются frame-src и worker-src.

form-action

Накладывает ограничение на URL-адреса, используемые в качестве получателя данных, отправляемых из заданного контекста.

media-src

Определяет разрешенные источники для загрузки мультимедиа через элементы <audio>, <video> и <track>.

style-src

Определяет разрешенные источники для таблиц стилей.

connect-src

Накладывает ограничение на URL-адреса, которые могут загружаться через интерфейсы скриптов.

frame-src

Определяет разрешенные источники для вложенных контекстов просмотра с использованием таких элементов, как <frame> и <iframe>.
frame-ancestors Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>.

object-src

Определяет разрешенные источники для элементов <object>, <embed> и <applet>.

Элементы, управляемые object-src, считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этой директивы загрузки (например, если возможно, напрямую присвоить object-src 'none').

worker-src

Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.

font-src

Определяет разрешенные источники для шрифтов, загружаемых через @font-face.

image-src

Определяет разрешенные источники для изображений и значков веб-сайтов.

script-src

Определяет разрешенные источники для JavaScript.

CSP по умолчанию для Qlik Cloud

Qlik Cloud имеет политику безопасности содержимого (CSP) по умолчанию, которая включает домены, добавленные в список безопасных. Например, изображения со следующих доменов можно использовать, не добавляя их в CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Для ознакомления с полным списком доменов по умолчанию см. раздел Добавление имен доменов и IP-адресов в список разрешенных.

Записи CSP и ограничения для заголовков

Значения для максимального количества записей CSP (Content Security Policy, политика безопасности содержимого) на клиента и максимального количества символов в значении заголовка CSP являются предустановленными и не могут быть изменены.

  • Максимум записей: до 256 записей CSP на каждого клиента. В случае превышения этого значения удалите лишние записи, прежде чем добавлять новые.

  • Длина заголовка: заголовок CSP может содержать до 6144 символов. В случае превышения этого ограничения удалите лишние записи, прежде чем добавлять новые.

Создание записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование перейдите в раздел Content Security Policy.
  2. Щелкните Добавить.
  3. Укажите имя.

  4. Введите источник в одном из следующих форматов:

    • domain.com

    • *.domain.com

    Примечание к информацииQlik Sense принудительно использует HTTPS.
  5. Выберите применимый указатель.

  6. Щелкните Добавить.

Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.

Редактирование записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование перейдите в раздел Content Security Policy.
  2. Найдите запись CSP, которую требуется редактировать, щелкните Дополнительно и выберите Изменить.
  3. При необходимости измените параметры CSP.
  4. Нажмите кнопку Сохранить.

Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.

Удаление записи CSP

Выполните следующие действия.

  1. В центре активности Администрирование перейдите в раздел Content Security Policy.

  2. Выберите записи CSP, которые требуется удалить, и нажмите кнопку Удалить.

  3. Подтвердите удаление.

Просмотр и копирование заголовка CSP

Выполните следующие действия.

  1. В центре активности Администрирование перейдите в раздел Content Security Policy.
  2. Щелкните Просмотреть заголовок.
  3. В диалоговом окне нажмите Копировать в буфер обмена.
  4. Щелкните Готово.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!