Gå till huvudinnehåll Gå till ytterligare innehåll

Hantera Content Security Policy

I Qlik Cloud används Content Security Policy (CSP) nivå 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa angreppstyper, bland annat XSS (skriptkörning över flera webbplatser) och datainfogning. Sådana angrepp används till allt från datastöld och förstörda webbplatser till distribution av skadlig programvara.

I Qlik Cloud möjliggör CSP att huvudadministratörer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Med få undantag används policyer främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste ursprungen för dessa läggas till i godkända-listan i Content Security Policy.

Gå till sidan Content Security Policy i Hanteringskonsol om du vill hantera säkerhetspolicyer för innehåll.

Mer information finns i MDN Web Docs: Säkerhetspolicy för innehåll (Content Security Policy, CSP).

Översikt av Content Security Policy

På sidan Content Security Policy i Hanteringskonsol visas de egenskaper som beskrivs nedan.

Egenskaper i Hanteringskonsol
Egenskap Beskrivning

Namn

Content Security Policy-postens namn.

Ursprung

Domänursprung som ska läggas till i godkända-listan.

Direktiv

Det direktiv som är tillämpligt för ursprunget.

Senast uppdaterad

När posten senast uppdaterades.

Skapad den

När posten skapades.

Direktiv

Direktiven styr vilka platser vissa resurstyper kan laddas från. Direktiven som beskrivs nedan stöds i Qlik Sense Enterprise.

Direktiv i Qlik Sense Enterprise
Direktiv Beskrivning

child-src

Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>.

Om du vill reglera nästlade bläddringskontexter och workers använder du direktiven frame-src respektive worker-src.

form-action

Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext.

media-src

Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>.

style-src

Specificerar giltiga källor för formatmallar.

connect-src

Begränsar vilka URL:er som kan laddas med skriptgränssnitt.

frame-src

Specificerar giltiga källor för laddning av nästlade bläddringskontexter med element som <frame> och <iframe>.
frame-ancestors Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>.

object-src

Specificerar giltiga källor för elementen <object>, <embed> och <applet>.

Element som styrs av object-src anses, kanske av en tillfällighet, vara äldre HTML-element och får inga nya standardiserade funktioner (som sandbox för säkerhetsattribut eller medge användning av <iframe>). Därför rekommenderas att detta fetch-direktiv begränsas (ange till exempel explicit object-src 'none' om möjligt).

worker-src

Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript.

font-src

Specificerar giltiga källor för teckensnitt som laddas med @font-face.

image-src

Specificerar giltiga källor för bilder och favoritikoner.

script-src

Specificerar giltiga källor för JavaScript.

Qlik Cloud standardvärde Content Security Policy

Qlik Cloud har standardvärde CSP för alla användare som inkluderar domäner som är listade som säkra. Exempelvis kan du använda bilder från följande domäner utan att behöva lägga till dem i din egen säkerhetspolicy för innehåll. Domäner för bilder från andra källor måste läggas till i säkerhetspolicyn för innehåll.

Standardkällor för bilder och favicons i Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

En lista med andra standarddomäner som är tillgängliga för alla Qlik Cloud-användare, se Frilistning av domännamn och IP-adresser.

Överväganden om poster och rubriklängd i Content Security Policy

En klientorganisation kan ha högst 256 Content Security Policy-poster. Om du får ett felmeddelande om att du överskrider antalet tillåtna Content Security Policy-poster kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.

Content Security Policy-rubriken får inte vara längre än 3 072 tecken. Om du får ett felmeddelande om att Content Security Policy-rubriken är för lång när du lägger till en ny Content Security Policy-post, kan du ta bort överflödiga Content Security Policy-poster och sedan lägga till den nya Content Security Policy-posten.

Standardvärdena för högsta antalet tillåtna tecken i CSP-rubriken och högsta antalet tillåtna CSP-poster per klientorganisation är inbyggda och kan inte ändras i Qlik Cloud.

Skapa en Content Security Policy-post

Anteckning om informationEn klientorganisation kan ha högst 256 Content Security Policy-poster.

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Hanteringskonsol och klicka på Lägg till längst upp till höger.
  2. I dialogen ger du Content Security Policy ett namn.

  3. Skriv ursprungets adress i ett av följande format:

    • domain.com

    • *.domain.com

    Qlik Sense använder HTTPS.

  4. Välj det direktiv som är tillämpligt för ursprunget.

    Anteckning om informationDu kan lägga till flera direktiv.
  5. Klicka på Lägg till.
Anteckning om informationAnvändare som använder klienten när en Content Security Policy skapas eller redigeras måste uppdatera sin webbläsare för att ändringarna ska tillämpas.

Redigera en Content Security Policy-post

Gör följande:

  1. I Hanteringskonsol går du till avsnittet Content Security Policy.
  2. Hitta CSP-posten som du vill redigera Mer och välj Redigera.
  3. I dialogrutan ändrar du alternativen för CSP-posten efter behov.
  4. Klicka på Spara.
Anteckning om informationAnvändare som använder klienten när en Content Security Policy skapas eller redigeras måste uppdatera sin webbläsare för att ändringarna ska tillämpas.

Ta bort en Content Security Policy-post

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Hanteringskonsol och välj den CSP-post du vill ta bort. Klicka sedan på Ta bort.

    Anteckning om informationDu kan ta bort flera element samtidigt.
  2. Bekräfta att du vill ta bort CSP-posten.

Kopiera Content Security Policy-rubriken

Anteckning om informationMax 6 144 tecken är tillåtna i Content Security Policy-rubriken.

Gör följande:

  1. Gå till delavsnittet Content Security Policy i Hanteringskonsol och klicka på Visa rubrik.
  2. Klicka på Kopiera till Urklipp i dialogen.
  3. Klicka på Klart.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!