Gå till huvudinnehåll Gå till ytterligare innehåll
Qlik-resurser
Laddar sökning med SearchUnify Om du behöver hjälp med din produkt, kontakta Qlik Support.
Qlik kundportal
Laddar sökning med SearchUnify Om du behöver hjälp med din produkt, kontakta Qlik Support.
Qlik kundportal

Hantera säkerhetspolicy för innehåll (Content Security Policy CSP)

Kontrollera och hantera din säkerhetspolicy för innehåll (CSP) i Qlik Cloud för att minska risken för hot som t.ex. XSS-angrepp (skriptkörning över flera webbplatser) and datainfogning.

Qlik Cloud använder säkerhetspolicy för innehåll (CSP) nivå 2. CSP ger ett ytterligare skikt av säkerhet genom att begränsa vilka externa resurser som kan laddas av appar, komplement och teman. Genom att begränsa tillåtna ursprung och resurstyper, hjälper CSP till att förhindra skadlig kodexekvering, datastöld, webbplatsförstöring och distribution av skadlig programvara.

Administratörer med de nödvändiga behörigheterna kan använda CSP för att kontrollera vilka externa resurser komplement och teman får ladda. Om ett komplement eller tema begär resurser från externa ursprung måste desa ursprung läggas till specifikt i CSP-godkända-listan.

Se MDN Web Docs: policy för innehållssäkerhet (CSP) för mer information om CSP.

Behörigheter som krävs

För att hantera poster om säkerhetspolicy för innehåll måste du ha någon av av följande roller:

  • Rollen som klientadministratör

  • En anpassad roll som inkluderar behörigheten Admin CSP

Direktiv

Direktiv definierar vilka källor som är tillåtna för specifika typer av resurser. Följande direktiv stöds:

CSP-direktiv
Directive (direktiv) Beskrivning

child-src

Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>. Använd frame-src och worker-src för mer specifik kontroll.

connect-src

Begränsar vilka URL:er som kan laddas med skriptgränssnitt.

font-src

Specificerar giltiga källor för teckensnitt som laddas med @font-face.

form-action

Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext.
frame-ancestors Specificerar giltiga källor för inbäddning av resursen med elementen <frame>, <iframe>, <object>, <embed> och <applet>.

frame-src

Specificerar giltiga källor för användning av nästlade bläddringskontexter med element som <frame> och <iframe>.

img-src

Specificerar giltiga källor för bilder och favoritikoner.

media-src

Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>.

object-src

Specificerar giltiga källor för elementen <object>, <embed> och <applet>.

Element som styrs av object-src anses vara äldre HTML-element och får inga nya standardiserade funktioner (som säkerhetsattributen sandbox eller allow för <iframe>). Det rekommenderas att detta hämtnings-direktiv begränsas där det är möjligt, till exempel genom att ställa in object-src 'none'.

script-src

Specificerar giltiga källor för JavaScript.

style-src

Specificerar giltiga källor för formatmallar.

worker-src

Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript.

Qlik Cloud standard-CSP

Qlik Cloud inkluderar en säkerhetspolicy för innehåll med en uppsättning tillåtna domäner. Resurser från dessa domäner kan användas utan att lägga till CSP-poster.

Exempel inkluderar:

  • *.qlikcloud.com – kärntjänster och API:er för Qlik Cloud

  • cdn.pendo.io – meddelandeinnehåll

  • gravatar.com – användarprofilikoner

En komplett lista finns i Lägga till domäner och IP-adresser i godkända-listan.

Begränsningar för CSP-poster och rubriker

Följande gränser är inbyggda och kan inte ändras. Om du når någon av gränserna, ta bort redundanta eller oanvända CSP-poster.

  • Maximalt antal CSP poster: 256 poster per klientorganisation

  • Maximal CSP rubriklängd: 6 144 tecken

Skapa en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Klicka på Lägg till.

  3. Ange ett namn.

  4. Skriv ursprungets adress i något av följande format:

    • domain.com

    • *.domain.com

    Anteckning om informationQlik Sense tillämpar HTTPS för CSP poster.

  5. Välj tillämpliga direktiv.

  6. Klicka på Lägg till.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Redigera en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Hitta CSP-posten som du vill redigera Mer och välj Redigera.
  3. Ändra CSP-alternativen efter behov.
  4. Klicka på Spara.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Ta bort en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.

  2. Välj de CSP-poster som du vill ta bort och klicka på Ta bort.

  3. Bekräfta borttagningen.

Visa och kopiera CSP-rubriken

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Klicka på Visa rubrik.
  3. Klicka på Kopiera till Urklipp i dialogen.
  4. Klicka på Klart.

Var den här sidan till hjälp för dig?

Om du stöter på några problem med den här sidan eller innehållet på den, t.ex. ett stavfel, ett saknat steg eller ett tekniskt fel – meddela oss!

Lämna din feedback här