Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik

Управление Content Security Policy

Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и уменьшать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.

В Qlik Cloud CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники следует добавить в список разрешений в Content Security Policy.

Для управления политиками безопасности содержимого откройте в Management Console страницу Content Security Policy.

Для получения дополнительной информации см. веб-документацию MDN: Политика безопасности содержимого (CSP).

Обзор Content Security Policy

На странице Content Security Policy Management Console показаны свойства, описанные ниже.

Свойства консоли управления
Свойство Описание

Имя

Имя записи в политике безопасности содержимого.

Источник

Источник домена для добавления в список разрешений.

Указатель

Указатель, применимый к источнику.

Последнее обновление

Время последнего обновления записи.

Дата создания

Время создания записи.

Указатели

Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.

Указатели в Qlik Sense Enterprise
Указатель Описание

child-src

Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.

Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src.

form-action

Накладывает ограничение на URL-адреса, используемые в качестве целевого объекта при отправке форм из заданного контекста.

media-src

Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>.

style-src

Определяет разрешенные источники для таблиц стилей.

connect-src

Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов.

frame-src

Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.
frame-ancestors Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>.

object-src

Определяет разрешенные источники для элементов <object>, <embed> и <applet>.

Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none').

worker-src

Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.

font-src

Определяет разрешенные источники для шрифтов, загружаемых через @font-face.

image-src

Определяет разрешенные источники для изображений и значков веб-сайтов.

script-src

Определяет разрешенные источники для JavaScript.

Политика безопасности содержимого по умолчанию в Qlik Cloud

Qlik Cloud имеет политику безопасности содержимого (ПБС) по умолчанию для всех пользователей. Она включает домены, добавленные в список безопасных. Например, можно использовать изображения со следующих доменов, не добавляя их в собственную политику безопасности содержимого. Для использования изображений из других источников необходимо добавить соответствующие домены в политику безопасности содержимого.

Источники по умолчанию для изображений и значков веб-сайтов в Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Список остальных доменов по умолчанию, доступных для всех пользователей Qlik Cloud, см. в разделе Добавление имен доменов и IP-адресов в список разрешенных.

Аспекты количества записей и длины заголовка Content Security Policy

На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Cloud.

Создание записи Content Security Policy

Примечание к информацииНа клиента разрешено не более 256 записей Content Security Policy.

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.

  2. В диалоговом окне введите имя для Content Security Policy.

  3. Введите адрес источника в следующем формате: domain.com.

    Qlik Sense принудительно использует HTTPS.

  4. Выберите указатель, применимый к источнику.

    Примечание к информацииМожно добавить несколько указателей.
  5. Щелкните команду Добавить.
Примечание к информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Редактирование записи Content Security Policy

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется изменить, и нажмите Изменить.
  2. Если необходимо, в диалоговом окне измените параметры записи CSP.
  3. Щелкните команду Сохранить.
Примечание к информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Удаление записи Content Security Policy

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.

    Примечание к информацииОдновременно можно удалить несколько элементов.
  2. Подтвердите удаление данной записи CSP.

Копирование заголовка Content Security Policy

Примечание к информацииДлина заголовка Content Security Policy не должна превышать 6,144 символов.

Выполните следующие действия.

  1. В Management Console откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
  2. В диалоговом окне нажмите Копировать в буфер обмена.
  3. Щелкните Готово.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!

Оставьте свой отзыв здесь