Hantera Content Security Policy
I Qlik Cloud används Content Security Policy (CSP) nivå 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa angreppstyper, bland annat XSS (skriptkörning över flera webbplatser) och datainfogning. Sådana angrepp används till allt från datastöld och förstörda webbplatser till distribution av skadlig programvara.
I Qlik Cloud möjliggör CSP att huvudadministratörer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Med få undantag används policyer främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste ursprungen för dessa inkluderas i godkända-listan i Content Security Policy.
Gå till sidan Content Security Policy i Management Console om du vill hantera säkerhetspolicyer för innehåll.
Mer information finns i MDN Web Docs: Säkerhetspolicy för innehåll (Content Security Policy, CSP).
Översikt av Content Security Policy
På sidan Content Security Policy i Management Console visas de egenskaper som beskrivs nedan.
| Egenskap | Beskrivning |
|---|---|
|
Namn |
Content Security Policy-postens namn. |
|
Ursprung |
Domänursprung som ska inkluderas i godkända-listan. |
|
Direktiv |
Det direktiv som är tillämpligt för ursprunget. |
|
Senast uppdaterad |
När posten senast uppdaterades. |
|
Skapad den |
När posten skapades. |
Direktiv
Direktiven styr vilka platser vissa resurstyper kan laddas från. Direktiven som beskrivs nedan stöds i Qlik Sense Enterprise.
| Direktiv | Beskrivning |
|---|---|
|
child-src |
Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>. Om du vill reglera nästlade bläddringskontexter och workers använder du direktiven frame-src respektive worker-src. |
|
form-action |
Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext. |
|
media-src |
Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>. |
|
style-src |
Specificerar giltiga källor för formatmallar. |
|
connect-src |
Begränsar vilka URL:er som kan laddas med skriptgränssnitt. |
|
frame-src |
Specificerar giltiga källor för laddning av nästlade bläddringskontexter med element som <frame> och <iframe>. |
| frame-ancestors | Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>. |
|
object-src |
Specificerar giltiga källor för elementen <object>, <embed> och <applet>. Element som styrs av object-src anses, kanske av en tillfällighet, vara äldre HTML-element och får inga nya standardiserade funktioner (som sandbox för säkerhetsattribut eller medge användning av <iframe>). Därför rekommenderas att detta fetch-direktiv begränsas (ange till exempel explicit object-src 'none' om möjligt). |
|
worker-src |
Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript. |
|
font-src |
Specificerar giltiga källor för teckensnitt som laddas med @font-face. |
|
image-src |
Specificerar giltiga källor för bilder och favoritikoner. |
|
script-src |
Specificerar giltiga källor för JavaScript. |
Qlik Cloud standardvärde Content Security Policy
Qlik Cloud har standardvärde CSP för alla användare som inkluderar domäner som är listade som säkra. Exempelvis kan du använda bilder från följande domäner utan att behöva lägga till dem i din egen säkerhetspolicy för innehåll. Domäner för bilder från andra källor måste läggas till i säkerhetspolicyn för innehåll.
Standardkällor för bilder och favicons i Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
En lista med andra standarddomäner som är tillgängliga för alla Qlik Cloud-användare, se Frilistning av domännamn och IP-adresser.
Överväganden om poster och rubriklängd i Content Security Policy
En klientorganisation kan ha högst 256 Content Security Policy-poster. Om du får ett felmeddelande om att du överskrider antalet tillåtna Content Security Policy-poster kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.
Content Security Policy-rubriken får inte vara längre än 3 072 tecken. Om du får ett felmeddelande om att Content Security Policy-rubriken är för lång när du lägger till en ny Content Security Policy-post, kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.
Standardvärdena för högsta antalet tillåtna tecken i CSP-rubriken och högsta antalet tillåtna CSP-poster per klientorganisation är inbyggda och kan inte ändras i Qlik Cloud.
Skapa en Content Security Policy-post
Gör följande:
- Gå till delavsnittet Content Security Policy i Management Console och klicka på Lägg till längst upp till höger.
-
I dialogen ger du Content Security Policy ett namn.
-
Skriv ursprungets adress i ett av följande format:
-
domain.com
-
*.domain.com
Qlik Sense använder HTTPS.
-
-
Välj det direktiv som är tillämpligt för ursprunget.
Anteckning om informationDu kan lägga till flera direktiv. - Klicka på Lägg till.
Redigera en Content Security Policy-post
Gör följande:
- Gå till delavsnittet Content Security Policy i Management Console och välj den CSP-post du vill redigera. Klicka sedan på Redigera.
- Ändra önskade alternativ för CSP-posten i dialogen.
- Klicka på Spara.
Ta bort en Content Security Policy-post
Gör följande:
-
Gå till delavsnittet Content Security Policy i Management Console och välj den CSP-post du vill ta bort. Klicka sedan på Ta bort.
Anteckning om informationDu kan ta bort flera element samtidigt. - Bekräfta att du vill ta bort CSP-posten.
Kopiera Content Security Policy-rubriken
Gör följande:
- Gå till delavsnittet Content Security Policy i Management Console och klicka på Visa rubrik.
- Klicka på Kopiera till Urklipp i dialogen.
- Klicka på Klart.