Управление Content Security Policy
Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и уменьшать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.
В Qlik Cloud CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники следует добавить в список разрешений в Content Security Policy.
Для управления политиками безопасности содержимого откройте в Management Console страницу Content Security Policy.
Для получения дополнительной информации см. веб-документацию MDN: Политика безопасности содержимого (CSP).
Обзор Content Security Policy
На странице Content Security Policy Management Console показаны свойства, описанные ниже.
Свойство | Описание |
---|---|
Имя |
Имя записи в политике безопасности содержимого. |
Источник |
Источник домена для добавления в список разрешений. |
Указатель |
Указатель, применимый к источнику. |
Последнее обновление |
Время последнего обновления записи. |
Дата создания |
Время создания записи. |
Указатели
Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.
Указатель | Описание |
---|---|
child-src |
Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src. |
form-action |
Накладывает ограничение на URL-адреса, используемые в качестве целевого объекта при отправке форм из заданного контекста. |
media-src |
Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>. |
style-src |
Определяет разрешенные источники для таблиц стилей. |
connect-src |
Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов. |
frame-src |
Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>. |
frame-ancestors | Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>. |
object-src |
Определяет разрешенные источники для элементов <object>, <embed> и <applet>. Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none'). |
worker-src |
Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker. |
font-src |
Определяет разрешенные источники для шрифтов, загружаемых через @font-face. |
image-src |
Определяет разрешенные источники для изображений и значков веб-сайтов. |
script-src |
Определяет разрешенные источники для JavaScript. |
Политика безопасности содержимого по умолчанию в Qlik Cloud
Qlik Cloud имеет политику безопасности содержимого (ПБС) по умолчанию для всех пользователей. Она включает домены, добавленные в список безопасных. Например, можно использовать изображения со следующих доменов, не добавляя их в собственную политику безопасности содержимого. Для использования изображений из других источников необходимо добавить соответствующие домены в политику безопасности содержимого.
Источники по умолчанию для изображений и значков веб-сайтов в Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Список остальных доменов по умолчанию, доступных для всех пользователей Qlik Cloud, см. в разделе Добавление имен доменов и IP-адресов в список разрешенных.
Аспекты количества записей и длины заголовка Content Security Policy
На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.
Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.
Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Cloud.
Создание записи Content Security Policy
Выполните следующие действия.
- В Management Console откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.
-
В диалоговом окне введите имя для Content Security Policy.
-
Введите адрес источника в следующем формате: domain.com.
Qlik Sense принудительно использует HTTPS.
-
Выберите указатель, применимый к источнику.
Примечание к информацииМожно добавить несколько указателей. - Щелкните команду Добавить.
Редактирование записи Content Security Policy
Выполните следующие действия.
- В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется изменить, и нажмите Изменить.
- Если необходимо, в диалоговом окне измените параметры записи CSP.
- Щелкните команду Сохранить.
Удаление записи Content Security Policy
Выполните следующие действия.
-
В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.
Примечание к информацииОдновременно можно удалить несколько элементов. - Подтвердите удаление данной записи CSP.
Копирование заголовка Content Security Policy
Выполните следующие действия.
- В Management Console откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
- В диалоговом окне нажмите Копировать в буфер обмена.
- Щелкните Готово.