Gå till huvudinnehåll Gå till ytterligare innehåll

Hantering av Content Security Policy (CSP)

Kontrollera och hantera din Säkerhetspolicy för innehåll (CSP) i Qlik Cloud för att förbättra skyddet mot attacker som Skriptkörning över flera webbplatser (XSS) och datainfogning.

I Qlik Cloud används Content Security Policy (CSP) nivå 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa angreppstyper, bland annat XSS och datainfogning. Dessa attacker kan leda till datastöld, förstörda webbplatser och distribution av skadeprogram.

CSP innebär att administratörer för klientorganisationer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Policyer används med få undantag främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste dessa ursprung läggas till i godkända-listan i CSP.

Se MDN Web Docs: policy för innehållssäkerhet (CSP) för mer information.

Direktiv

Direktiven styr vilka platser vissa resurstyper kan laddas från. Följande direktiv stöds:

Direktiv
Directive (direktiv) Beskrivning

child-src

Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>.

Använd frame-src och worker-src för mer specifik kontroll.

form-action

Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext.

media-src

Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>.

style-src

Specificerar giltiga källor för formatmallar.

connect-src

Begränsar vilka URL:er som kan laddas med skriptgränssnitt.

frame-src

Specificerar giltiga källor för användning av nästlade bläddringskontexter med element som <frame> och <iframe>.
frame-ancestors Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>.

object-src

Specificerar giltiga källor för elementen <object>, <embed> och <applet>.

Element som styrs av object-src anses vara äldre HTML-element och får inga nya standardiserade funktioner (som säkerhetsattributen sandbox eller allow för <iframe>). Det rekommenderas att detta hämtnings-direktiv begränsas, till exempel genom att ställa in object-src 'none' om möjligt.

worker-src

Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript.

font-src

Specificerar giltiga källor för teckensnitt som laddas med @font-face.

image-src

Specificerar giltiga källor för bilder och favoritikoner.

script-src

Specificerar giltiga källor för JavaScript.

Qlik Cloud standard-CSP

Qlik Cloud har standard-CSP som inkluderar domäner som är listade som säkra. Exempelvis kan du använda bilder från följande domäner utan att lägga till dem i din CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

För en fullständig lista över standarddomäner, se Frilistning av domännamn och IP-adresser.

CSP-poster och gränser för rubriker

Värdena för max antal CSP-poster per klientorganisation och max antal tecken i CSP-rubriken är inbyggda och kan inte ändras.

  • Max antal poster: Uppåt 256 CSP-poster per klientorganisation. Om du överskrider detta, ta bort överflödiga poster innan du lägger till nya.

  • Längd på rubriken: CSP-rubriken kan vara upp till 6 144 tecken lång. Om du överskrider detta, ta bort överflödiga poster innan du lägger till nya.

Skapa en CSP-post

Gör följande:

  1. I aktivitetscentret för Administration går du till Content Security Policy.
  2. Klicka på Lägg till.
  3. Ange ett namn.

  4. Skriv ursprungets adress i något av följande format:

    • domain.com

    • *.domain.com

    Anteckning om informationQlik Sense använder HTTPS.
  5. Välj tillämpliga direktiv.

  6. Klicka på Lägg till.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Redigera en CSP-post

Gör följande:

  1. I aktivitetscentret för Administration går du till Content Security Policy.
  2. Hitta CSP-posten som du vill redigera Mer och välj Redigera.
  3. Ändra CSP-alternativen efter behov.
  4. Klicka på Spara.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Ta bort en CSP-post

Gör följande:

  1. I aktivitetscentret för Administration går du till Content Security Policy.

  2. Välj de CSP-poster som du vill ta bort och klicka på Ta bort.

  3. Bekräfta borttagningen.

Visa och kopiera CSP-rubriken

Gör följande:

  1. I aktivitetscentret för Administration går du till Content Security Policy.
  2. Klicka på Visa rubrik.
  3. Klicka på Kopiera till Urklipp i dialogen.
  4. Klicka på Klart.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!