Управление Content Security Policy

Управляйте политикой безопасности содержимого в Qlik Cloud, чтобы усилить защиту от атак, таких как межсайтовый скриптинг (XSS) и заражение данных.

Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и уменьшать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.

В Qlik Cloud CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники должны быть добавлены в список разрешений в Content Security Policy.

Для управления политиками безопасности содержимого откройте в Консоль управления страницу Content Security Policy.

Для получения дополнительной информации см. страницу MDN Web Docs: Content Security Policy (CSP) (Веб-документы MDN: политика безопасности содержимого).

Если клиент использует новый интерфейс навигации, вместо Консоль управления появляется центр активности «Администрирование».

Для получения дополнительной информации см. раздел Новая навигация по платформе.

Обзор Content Security Policy

На странице Content Security Policy Консоль управления показаны свойства, описанные ниже.

Свойства консоли управления
Свойство	Описание
Имя	Имя записи в политике безопасности содержимого.
Источник	Источник домена для добавления в список разрешений.
Указатель	Указатель, применимый к источнику.
Последнее обновление	Время последнего обновления записи.
Дата создания	Время создания записи.

Указатели

Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.

Указатели в Qlik Sense Enterprise
Указатель	Описание
child-src	Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src.
form-action	Накладывает ограничение на URL-адреса, используемые в качестве целевого объекта при отправке форм из заданного контекста.
media-src	Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>.
style-src	Определяет разрешенные источники для таблиц стилей.
connect-src	Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов.
frame-src	Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.
frame-ancestors	Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>.
object-src	Определяет разрешенные источники для элементов <object>, <embed> и <applet>. Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none').
worker-src	Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.
font-src	Определяет разрешенные источники для шрифтов, загружаемых через @font-face.
image-src	Определяет разрешенные источники для изображений и значков веб-сайтов.
script-src	Определяет разрешенные источники для JavaScript.

Политика безопасности содержимого по умолчанию в Qlik Cloud

Qlik Cloud имеет политику безопасности содержимого (ПБС) по умолчанию для всех пользователей. Она включает домены, добавленные в список безопасных. Например, можно использовать изображения со следующих доменов, не добавляя их в собственную политику безопасности содержимого. Для использования изображений из других источников необходимо добавить соответствующие домены в политику безопасности содержимого.

Источники по умолчанию для изображений и значков веб-сайтов в Qlik Cloud:

maps.qlikcloud.com
ibasemaps-api.arcgis.com
cdn.pendo.io
app.pendo.io
pendo-static-5763789454311424.storage.googleapis.com
data.pendo.io
*.gravatar.com *.wp.com *.
googleusercontent.com
cdn.qlik-stage.com
cdn.qlikcloud.com

Список остальных доменов по умолчанию, доступных для всех пользователей Qlik Cloud, см. в разделе Добавление имен доменов и IP-адресов в список разрешенных.

Аспекты количества записей и длины заголовка Content Security Policy

На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Cloud.

Создание записи Content Security Policy

На клиента разрешено не более 256 записей Content Security Policy.

Выполните следующие действия.

В Консоль управления откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.
В диалоговом окне введите имя для Content Security Policy.
Введите адрес источника в одном из следующих форматов:
- domain.com
- *.domain.com
Qlik Sense принудительно использует HTTPS.
Выберите указатель, применимый к источнику.

Примечание к информацииМожно добавить несколько указателей.
Щелкните команду Добавить.

Пользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Редактирование записи Content Security Policy

Выполните следующие действия.

В Консоль управления перейдите в раздел Content Security Policy.
Найдите запись CSP, которую требуется редактировать, щелкните и выберите Изменить.
В диалоговом окне по необходимости измените параметры записей CSP.
Щелкните команду Сохранить.

Удаление записи Content Security Policy

Выполните следующие действия.

В Консоль управления откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.

Примечание к информацииОдновременно можно удалить несколько элементов.
Подтвердите удаление данной записи CSP.

Копирование заголовка Content Security Policy

Длина заголовка Content Security Policy не должна превышать 6,144 символов.

Выполните следующие действия.

В Консоль управления откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
В диалоговом окне нажмите Копировать в буфер обмена.
Щелкните Готово.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!

Оставьте свой отзыв здесь