Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik

Управление Content Security Policy

Управляйте политикой безопасности содержимого в Qlik Cloud, чтобы усилить защиту от атак, таких как межсайтовый скриптинг (XSS) и заражение данных.

Qlik Cloud использует Content Security Policy (CSP) уровня 2, которая обеспечивает дополнительный уровень защиты и позволяет обнаруживать определенные типы атак, такие как межсайтовый скриптинг (XSS) и заражение данных, и уменьшать их воздействие. Эти атаки могут преследовать самые разные цели: от кражи данных до проникновения на сайты с целью распространения вредоносного ПО.

В Qlik Cloud CSP позволяет администраторам клиента контролировать ресурсы: ресурсы соответствующего расширения или темы должны быть разрешены для загрузки на указанной странице. За редким исключением, политики, как правило, требуют указания серверных источников и конечных точек скрипта. Если расширение или тема содержит запросы на внешние ресурсы, соответствующие источники должны быть добавлены в список разрешений в Content Security Policy.

Для управления политиками безопасности содержимого откройте в Консоль управления страницу Content Security Policy.

Для получения дополнительной информации см. страницу MDN Web Docs: Content Security Policy (CSP) (Веб-документы MDN: политика безопасности содержимого).

Обзор Content Security Policy

На странице Content Security Policy Консоль управления показаны свойства, описанные ниже.

Свойства консоли управления
Свойство Описание

Имя

Имя записи в политике безопасности содержимого.

Источник

Источник домена для добавления в список разрешений.

Указатель

Указатель, применимый к источнику.

Последнее обновление

Время последнего обновления записи.

Дата создания

Время создания записи.

Указатели

Указатели используются для управления источниками, из которых разрешена загрузка ресурсов определенных типов. Указатели, описанные ниже, поддерживаются в Qlik Sense Enterprise.

Указатели в Qlik Sense Enterprise
Указатель Описание

child-src

Определяет разрешенные источники для фоновых процессов (web workers) и вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.

Для регулировки вложенных контекстов просмотра и фоновых процессов используйте соответственно указатели frame-src и worker-src.

form-action

Накладывает ограничение на URL-адреса, используемые в качестве целевого объекта при отправке форм из заданного контекста.

media-src

Определяет разрешенные источники мультимедиа, загружаемых через элементы <audio>, <video> и <track>.

style-src

Определяет разрешенные источники для таблиц стилей.

connect-src

Накладывает ограничение на URL-адреса, которые могут быть загружены через интерфейсы скриптов.

frame-src

Определяет разрешенные источники для вложенных контекстов просмотра, загружаемых с использованием таких элементов, как <frame> и <iframe>.
frame-ancestors Определяет разрешенные источники для встраивания ресурсов с помощью <frame>, <iframe>, <object>, <embed> и <applet>.

object-src

Определяет разрешенные источники для элементов <object>, <embed> и <applet>.

Элементы, управляемые object-src, возможно по недоразумению считаются устаревшими элементами HTML и не получают новых стандартизованных функций (таких как атрибуты безопасности sandbox или allow для <iframe>). Рекомендуется ограничить использование этого указателя загрузки (например, если возможно, напрямую присвоить object-src 'none').

worker-src

Определяет разрешенные источники для скриптов Worker, SharedWorker или ServiceWorker.

font-src

Определяет разрешенные источники для шрифтов, загружаемых через @font-face.

image-src

Определяет разрешенные источники для изображений и значков веб-сайтов.

script-src

Определяет разрешенные источники для JavaScript.

Политика безопасности содержимого по умолчанию в Qlik Cloud

Qlik Cloud имеет политику безопасности содержимого (ПБС) по умолчанию для всех пользователей. Она включает домены, добавленные в список безопасных. Например, можно использовать изображения со следующих доменов, не добавляя их в собственную политику безопасности содержимого. Для использования изображений из других источников необходимо добавить соответствующие домены в политику безопасности содержимого.

Источники по умолчанию для изображений и значков веб-сайтов в Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Список остальных доменов по умолчанию, доступных для всех пользователей Qlik Cloud, см. в разделе Добавление имен доменов и IP-адресов в список разрешенных.

Аспекты количества записей и длины заголовка Content Security Policy

На клиента разрешено не более 256 записей Content Security Policy. При получении сообщения об ошибке из-за превышения количества разрешенных записей Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Длина заголовка Content Security Policy не должна превышать 3,072 символов. При получении сообщения об ошибке из-за превышения длины заголовка Content Security Policy во время добавления новой записи Content Security Policy можно удалить избыточные записи Content Security Policy и затем добавить новую запись Content Security Policy.

Максимальное количество символов, разрешенное в значении заголовка CSP по умолчанию, и максимальное количество записей CSP, разрешенных в значении клиента по умолчанию, фиксировано и не может быть изменено в Qlik Cloud.

Создание записи Content Security Policy

Примечание к информацииНа клиента разрешено не более 256 записей Content Security Policy.

Выполните следующие действия.

  1. В Консоль управления откройте раздел Content Security Policy и нажмите в верхнем правом углу Добавить.

  2. В диалоговом окне введите имя для Content Security Policy.

  3. Введите адрес источника в одном из следующих форматов:

    • domain.com

    • *.domain.com

    Qlik Sense принудительно использует HTTPS.

  4. Выберите указатель, применимый к источнику.

    Примечание к информацииМожно добавить несколько указателей.
  5. Щелкните команду Добавить.
Примечание к информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Редактирование записи Content Security Policy

Выполните следующие действия.

  1. В Консоль управления перейдите в раздел Content Security Policy.
  2. Найдите запись CSP, которую требуется редактировать, щелкните Дополнительно и выберите Изменить.
  3. В диалоговом окне по необходимости измените параметры записей CSP.
  4. Щелкните команду Сохранить.
Примечание к информацииПользователи, которые используют клиент во время создания или изменения Content Security Policy, должны обновить браузер, чтобы изменения вступили в силу.

Удаление записи Content Security Policy

Выполните следующие действия.

  1. В Консоль управления откройте раздел Content Security Policy, выберите запись CSP, которую требуется удалить, и нажмите Удалить.

    Примечание к информацииОдновременно можно удалить несколько элементов.
  2. Подтвердите удаление данной записи CSP.

Копирование заголовка Content Security Policy

Примечание к информацииДлина заголовка Content Security Policy не должна превышать 6,144 символов.

Выполните следующие действия.

  1. В Консоль управления откройте раздел Content Security Policy и нажмите Просмотреть заголовок.
  2. В диалоговом окне нажмите Копировать в буфер обмена.
  3. Щелкните Готово.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!

Оставьте свой отзыв здесь