Hantering av Content Security Policy (CSP)
Kontrollera och hantera din Säkerhetspolicy för innehåll (CSP) i Qlik Cloud för att förbättra skyddet mot attacker som Skriptkörning över flera webbplatser (XSS) och datainfogning.
I Qlik Cloud används Content Security Policy (CSP) nivå 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa angreppstyper, bland annat XSS och datainfogning. Dessa attacker kan leda till datastöld, förstörda webbplatser och distribution av skadeprogram.
CSP innebär att administratörer för klientorganisationer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Policyer används med få undantag främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste dessa ursprung läggas till i godkända-listan i CSP.
Se MDN Web Docs: policy för innehållssäkerhet (CSP) för mer information.
Direktiv
Direktiven styr vilka platser vissa resurstyper kan laddas från. Följande direktiv stöds:
Directive (direktiv) | Beskrivning |
---|---|
child-src |
Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>. Använd frame-src och worker-src för mer specifik kontroll. |
form-action |
Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext. |
media-src |
Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>. |
style-src |
Specificerar giltiga källor för formatmallar. |
connect-src |
Begränsar vilka URL:er som kan laddas med skriptgränssnitt. |
frame-src |
Specificerar giltiga källor för användning av nästlade bläddringskontexter med element som <frame> och <iframe>. |
frame-ancestors | Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>. |
object-src |
Specificerar giltiga källor för elementen <object>, <embed> och <applet>. Element som styrs av object-src anses vara äldre HTML-element och får inga nya standardiserade funktioner (som säkerhetsattributen sandbox eller allow för <iframe>). Det rekommenderas att detta hämtnings-direktiv begränsas, till exempel genom att ställa in object-src 'none' om möjligt. |
worker-src |
Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript. |
font-src |
Specificerar giltiga källor för teckensnitt som laddas med @font-face. |
image-src |
Specificerar giltiga källor för bilder och favoritikoner. |
script-src |
Specificerar giltiga källor för JavaScript. |
Qlik Cloud standard-CSP
Qlik Cloud har standard-CSP som inkluderar domäner som är listade som säkra. Exempelvis kan du använda bilder från följande domäner utan att lägga till dem i din CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
För en fullständig lista över standarddomäner, se Frilistning av domännamn och IP-adresser.
CSP-poster och gränser för rubriker
Värdena för max antal CSP-poster per klientorganisation och max antal tecken i CSP-rubriken är inbyggda och kan inte ändras.
-
Max antal poster: Uppåt 256 CSP-poster per klientorganisation. Om du överskrider detta, ta bort överflödiga poster innan du lägger till nya.
-
Längd på rubriken: CSP-rubriken kan vara upp till 6 144 tecken lång. Om du överskrider detta, ta bort överflödiga poster innan du lägger till nya.
Skapa en CSP-post
Gör följande:
- I aktivitetscentret för Administration går du till Content Security Policy.
- Klicka på Lägg till.
-
Ange ett namn.
-
Skriv ursprungets adress i något av följande format:
-
domain.com
-
*.domain.com
Anteckning om informationQlik Sense använder HTTPS. -
-
Välj tillämpliga direktiv.
- Klicka på Lägg till.
Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.
Redigera en CSP-post
Gör följande:
- I aktivitetscentret för Administration går du till Content Security Policy.
- Hitta CSP-posten som du vill redigera och välj Redigera.
- Ändra CSP-alternativen efter behov.
- Klicka på Spara.
Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.
Ta bort en CSP-post
Gör följande:
-
I aktivitetscentret för Administration går du till Content Security Policy.
-
Välj de CSP-poster som du vill ta bort och klicka på Ta bort.
- Bekräfta borttagningen.
Visa och kopiera CSP-rubriken
Gör följande:
- I aktivitetscentret för Administration går du till Content Security Policy.
- Klicka på Visa rubrik.
- Klicka på Kopiera till Urklipp i dialogen.
- Klicka på Klart.