Gå till huvudinnehåll

Hantera Content Security Policy

SaaS-versioner av Qlik Sense använder Content Security Policy (CSP) Level 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa typer av angrepp, bland annat XSS (skriptkörning över flera webbplatser) och datainfogning. Sådana angrepp används till allt från datastöld och förstörda webbplatser till distribution av skadlig programvara.

I Qlik Sense Enterprise möjliggör CSP att huvudadministratörer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Med få undantag används policyer främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste ursprungen för dessa inkluderas i godkända-listan i Content Security Policy.

Gå till sidan Content Security Policy i Management Console om du vill hantera säkerhetspolicyer för innehåll.

Mer information finns i MDN Web Docs: Säkerhetspolicy för innehåll (Content Security Policy, CSP).

Översikt av Content Security Policy

På sidan Content Security Policy i Management Console visas de egenskaper som beskrivs nedan.

Egenskaper i Hanteringskonsol
Egenskap Beskrivning

Namn

Content Security Policy-postens namn.

Ursprung

Domänursprung som ska inkluderas i godkända-listan.

Direktiv

Det direktiv som är tillämpligt för ursprunget.

Senast uppdaterad

När posten senast uppdaterades.

Skapad den

När posten skapades.

Direktiv

Direktiven styr vilka platser vissa resurstyper kan laddas från. Direktiven som beskrivs nedan stöds i Qlik Sense Enterprise.

Direktiv i Qlik Sense Enterprise
Direktiv Beskrivning

child-src

Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>.

Om du vill reglera nästlade bläddringskontexter och workers använder du direktiven frame-src respektive worker-src.

form-action

Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext.

media-src

Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>.

style-src

Specificerar giltiga källor för formatmallar.

connect-src

Begränsar vilka URL:er som kan laddas med skriptgränssnitt.

frame-src

Specificerar giltiga källor för laddning av nästlade bläddringskontexter med element som <frame> och <iframe>.
frame-ancestors Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>.

object-src

Specificerar giltiga källor för elementen <object>, <embed> och <applet>.

Element som styrs av object-src anses, kanske av en tillfällighet, vara äldre HTML-element och får inga nya standardiserade funktioner (som sandbox för säkerhetsattribut eller medge användning av <iframe>). Därför rekommenderas att detta fetch-direktiv begränsas (ange till exempel explicit object-src 'none' om möjligt).

worker-src

Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript.

font-src

Specificerar giltiga källor för teckensnitt som laddas med @font-face.

image-src

Specificerar giltiga källor för bilder och favoritikoner.

script-src

Specificerar giltiga källor för JavaScript.

Överväganden om poster och rubriklängd i Content Security Policy

En klientorganisation kan ha högst 256 Content Security Policy-poster. Om du får ett felmeddelande om att du överskrider antalet tillåtna Content Security Policy-poster kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.

Content Security Policy-rubriken får inte vara längre än 3 072 tecken. Om du får ett felmeddelande om att Content Security Policy-rubriken är för lång när du lägger till en ny Content Security Policy-post, kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.

Standardvärdena för högsta antalet tillåtna tecken i CSP-rubriken och högsta antalet tillåtna CSP-poster per klientorganisation är inbyggda och kan inte ändras i Qlik Sense Enterprise SaaS.

Skapa en Content Security Policy-post

Anteckning om informationEn klientorganisation kan ha högst 256 Content Security Policy-poster.

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Management Console och klicka på Lägg till längst upp till höger.
  2. I dialogen ger du Content Security Policy ett namn.

  3. Skriv ursprungets adress med följande format: domain.com.

    Qlik Sense använder HTTPS.

  4. Välj det direktiv som är tillämpligt för ursprunget.

    Anteckning om informationDu kan lägga till flera direktiv.
  5. Klicka på Lägg till.
Anteckning om informationAnvändare som använder klienten när en Content Security Policy skapas eller redigeras måste uppdatera sin webbläsare för att ändringarna ska tillämpas.

Redigera en Content Security Policy-post

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Management Console och välj den CSP-post du vill redigera. Klicka sedan på Redigera.
  2. Ändra önskade alternativ för CSP-posten i dialogen.
  3. Klicka på Spara.
Anteckning om informationAnvändare som använder klienten när en Content Security Policy skapas eller redigeras måste uppdatera sin webbläsare för att ändringarna ska tillämpas.

Ta bort en Content Security Policy-post

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Management Console och välj den CSP-post du vill ta bort. Klicka sedan på Ta bort.

    Anteckning om informationDu kan ta bort flera element samtidigt.
  2. Bekräfta att du vill ta bort CSP-posten.

Kopiera Content Security Policy-rubriken

Anteckning om informationMax 6 144 tecken är tillåtna i Content Security Policy rubriken.

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Management Console och klicka på Visa rubrik.
  2. Klicka på Kopiera till Urklipp i dialogen.
  3. Klicka på Klart.