Управление политикой Content Security Policy (CSP)
Управляйте политикой безопасности содержимого (Content Security Policy, CSP) в Qlik Cloud, чтобы усилить защиту от атак, таких как межсайтовый скриптинг (Cross Site Scripting, XSS) и заражение данных.
Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, в том числе XSS и заражение данных, и уменьшать их воздействие. Эти атаки могут привести к краже данных, искажению внешнего вида сайтов и распространению вредоносного ПО.
В CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. Политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники должны быть добавлены в список разрешений в CSP.
Для получения дополнительной информации см. страницу MDN Web Docs: Content Security Policy (CSP) (Веб-документы MDN: политика безопасности содержимого (CSP)).
Директивы
Директивы используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Поддерживаются следующие директивы:
Директива | Описание |
---|---|
child-src |
Определяет разрешенные источники для рабочих процессов и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. Для более специфичного контроля используются frame-src и worker-src. |
form-action |
Накладывает ограничение на URL-адреса, используемые в качестве получателя данных, отправляемых из заданного контекста. |
media-src |
Определяет разрешенные источники для загрузки мультимедиа через элементы <audio>, <video> и <track>. |
style-src |
Определяет разрешенные источники для таблиц стилей. |
connect-src |
Накладывает ограничение на URL-адреса, которые могут загружаться через интерфейсы скриптов. |
frame-src |
Определяет разрешенные источники для вложенных контекстов просмотра с использованием таких элементов, как <frame> и <iframe>. |
frame-ancestors | Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>. |
object-src |
Определяет разрешенные источники для элементов <object>, <embed> и <applet>. Элементы, управляемые object-src, считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этой директивы загрузки (например, если возможно, напрямую присвоить object-src 'none'). |
worker-src |
Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker. |
font-src |
Определяет разрешенные источники для шрифтов, загружаемых через @font-face. |
image-src |
Определяет разрешенные источники для изображений и значков веб-сайтов. |
script-src |
Определяет разрешенные источники для JavaScript. |
CSP по умолчанию для Qlik Cloud
Qlik Cloud имеет политику безопасности содержимого (CSP) по умолчанию, которая включает домены, добавленные в список безопасных. Например, изображения со следующих доменов можно использовать, не добавляя их в CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Для ознакомления с полным списком доменов по умолчанию см. раздел Добавление имен доменов и IP-адресов в список разрешенных.
Записи CSP и ограничения для заголовков
Значения для максимального количества записей CSP (Content Security Policy, политика безопасности содержимого) на клиента и максимального количества символов в значении заголовка CSP являются предустановленными и не могут быть изменены.
-
Максимум записей: до 256 записей CSP на каждого клиента. В случае превышения этого значения удалите лишние записи, прежде чем добавлять новые.
-
Длина заголовка: заголовок CSP может содержать до 6144 символов. В случае превышения этого ограничения удалите лишние записи, прежде чем добавлять новые.
Создание записи CSP
Выполните следующие действия.
- В центре активности Администрирование перейдите в раздел Content Security Policy.
- Щелкните Добавить.
-
Укажите имя.
-
Введите источник в одном из следующих форматов:
-
domain.com
-
*.domain.com
Примечание к информацииQlik Sense принудительно использует HTTPS. -
-
Выберите применимый указатель.
- Щелкните Добавить.
Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.
Редактирование записи CSP
Выполните следующие действия.
- В центре активности Администрирование перейдите в раздел Content Security Policy.
- Найдите запись CSP, которую требуется редактировать, щелкните и выберите Изменить.
- При необходимости измените параметры CSP.
- Нажмите кнопку Сохранить.
Пользователям необходимо обновить браузер, чтобы изменения вступили в силу.
Удаление записи CSP
Выполните следующие действия.
-
В центре активности Администрирование перейдите в раздел Content Security Policy.
-
Выберите записи CSP, которые требуется удалить, и нажмите кнопку Удалить.
- Подтвердите удаление.
Просмотр и копирование заголовка CSP
Выполните следующие действия.
- В центре активности Администрирование перейдите в раздел Content Security Policy.
- Щелкните Просмотреть заголовок.
- В диалоговом окне нажмите Копировать в буфер обмена.
- Щелкните Готово.