Управление Content Security Policy
Управляйте политикой безопасности содержимого в Qlik Cloud, чтобы усилить защиту от атак, таких как межсайтовый скриптинг (XSS) и заражение данных.
Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и уменьшать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.
В Qlik Cloud CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники должны быть добавлены в список разрешений в Content Security Policy.
Для управления политиками безопасности содержимого откройте в Консоль управления страницу Content Security Policy.
Для получения дополнительной информации см. страницу MDN Web Docs: Content Security Policy (CSP) (Веб-документы MDN: политика безопасности содержимого).
Если клиент использует новый интерфейс навигации, вместо Консоль управления появляется центр активности «Администрирование».
Для получения дополнительной информации см. раздел Новая навигация по платформе.
Обзор Content Security Policy
На странице Content Security Policy Консоль управления показаны свойства, описанные ниже.
Свойство | Описание |
---|---|
Имя |
Имя записи в политике безопасности содержимого. |
Источник |
Источник домена для добавления в список разрешений. |
Указатель |
Указатель, применимый к источнику. |
Последнее обновление |
Время последнего обновления записи. |
Дата создания |
Время создания записи. |
Указатели
Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.
Указатель | Описание |
---|---|
child-src |
Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src. |
form-action |
Накладывает ограничение на URL-адреса, используемые в качестве целевого объекта при отправке форм из заданного контекста. |
media-src |
Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>. |
style-src |
Определяет разрешенные источники для таблиц стилей. |
connect-src |
Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов. |
frame-src |
Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. |
frame-ancestors | Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>. |
object-src |
Определяет разрешенные источники для элементов <object>, <embed> и <applet>. Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none'). |
worker-src |
Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker. |
font-src |
Определяет разрешенные источники для шрифтов, загружаемых через @font-face. |
image-src |
Определяет разрешенные источники для изображений и значков веб-сайтов. |
script-src |
Определяет разрешенные источники для JavaScript. |
Политика безопасности содержимого по умолчанию в Qlik Cloud
Qlik Cloud имеет политику безопасности содержимого (ПБС) по умолчанию для всех пользователей. Она включает домены, добавленные в список безопасных. Например, можно использовать изображения со следующих доменов, не добавляя их в собственную политику безопасности содержимого. Для использования изображений из других источников необходимо добавить соответствующие домены в политику безопасности содержимого.
Источники по умолчанию для изображений и значков веб-сайтов в Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Список остальных доменов по умолчанию, доступных для всех пользователей Qlik Cloud, см. в разделе Добавление имен доменов и IP-адресов в список разрешенных.
Аспекты количества записей и длины заголовка Content Security Policy
На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.
Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.
Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Cloud.
Создание записи Content Security Policy
Выполните следующие действия.
- В Консоль управления откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.
-
В диалоговом окне введите имя для Content Security Policy.
-
Введите адрес источника в одном из следующих форматов:
-
domain.com
-
*.domain.com
Qlik Sense принудительно использует HTTPS.
-
-
Выберите указатель, применимый к источнику.
Примечание к информацииМожно добавить несколько указателей. - Щелкните команду Добавить.
Редактирование записи Content Security Policy
Выполните следующие действия.
- В Консоль управления перейдите в раздел Content Security Policy.
- Найдите запись CSP, которую требуется редактировать, щелкните
и выберите Изменить.
- В диалоговом окне по необходимости измените параметры записей CSP.
- Щелкните команду Сохранить.
Удаление записи Content Security Policy
Выполните следующие действия.
-
В Консоль управления откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.
Примечание к информацииОдновременно можно удалить несколько элементов. - Подтвердите удаление данной записи CSP.
Копирование заголовка Content Security Policy
Выполните следующие действия.
- В Консоль управления откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
- В диалоговом окне нажмите Копировать в буфер обмена.
- Щелкните Готово.