Ana içeriğe geç Tamamlayıcı içeriğe geç

Content Security Policy (CSP) Yönetme

Siteler Arası Komut Dosyası Kodu (XSS) ve veri ekleme gibi saldırılara karşı korumayı artırmak için Qlik Cloud içinde İçerik Güvenliği Politikanızı (CSP) kontrol edin ve yönetin.

Qlik Cloud, XSS ve veri ekleme gibi belirli saldırı türlerinin algılanıp azaltılmasına yardımcı olan ek bir güvenlik katmanı sağlayan Content Security Policy (CSP) Seviye 2'yi kullanır. Bu saldırılar veri hırsızlığına, site içeriğini bozmaya ve kötü amaçlı yazılım dağıtımına yol açabilir.

CSP, kiracı yöneticilerinin bir uzantının veya temanın belirli bir sayfa için yüklemesine izin verilen kaynakları denetlemesine olanak tanır. Politikalar genellikle sunucu kökenlerinin ve komut dosyası kodu uç noktalarının belirtilmesini kapsar. Bir uzantı veya tema, harici kaynaklara yönelik kaynak isteklerini içeriyorsa bunların kökenleri CSP içinde izin verilenler listesine eklenmiş olmalıdır.

Daha fazla bilgi için bkz. MDN Web Docs: İçerik Güvenliği Politikası (CSP).

Directives (Yönergeler)

Yönergeler, içinden belirli kaynak türlerinin yüklenebileceği konumları denetler. Aşağıdaki yönergeler desteklenmektedir:

Directives (Yönergeler)
Yönerge Açıklama

child-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları ve web çalışanları için geçerli kaynakları tanımlar.

Daha spesifik kontrol için frame-src ve worker-src kullanın.

form-action

Belirli bir bağlamdan gönderimlerin hedefi olarak kullanılabilen URL'leri kısıtlar.

media-src

<audio>, <video> ve <track> öğeleri kullanılarak ortam yüklemek için geçerli kaynakları belirtir.

style-src

Stil sayfaları için geçerli kaynakları belirtir.

connect-src

Komut dosyası kodu arabirimleri kullanılarak yüklenebilen URL'leri kısıtlar.

frame-src

<frame> ve <iframe> gibi öğeler kullanılarak iç içe geçmiş tarayıcı bağlamları için geçerli kaynakları belirtir.
frame-ancestors <frame>, <iframe>, <object>, <embed> ve <applet> kullanarak kaynak eklemeye yönelik geçerli kaynakları belirtir.

object-src

<object>, <embed> ve <applet> öğeleri için geçerli kaynakları belirtir.

object-src tarafından denetlenen öğeler, eski HTML öğeleri olarak değerlendirilebilir ve yeni standartlaştırılmış özellikleri almaz (ör. <iframe> için güvenlik öznitelikleri sandbox veya allow). Bu fetch directive'in (getirme yönergesi) kısıtlanması önerilmez (örneğin, mümkünse açık şekilde object-src 'none' ayarlayarak).

worker-src

Worker, SharedWorker veya ServiceWorker kodları için geçerli kaynakları belirtir.

font-src

@font-face kullanılarak yüklenen yazı tipleri için geçerli kaynakları belirtir.

image-src

Resimlerin ve sık kullanılan simgelerin geçerli kaynaklarını belirtir.

script-src

JavaScript için geçerli kaynakları belirtir.

Qlik Cloud varsayılan CSP

Qlik Cloud, güvenli olarak listelenmiş etki alanlarını içeren varsayılan bir CSP'ye sahiptir. Örneğin, aşağıdaki etki alanlarından görüntüleri kendi CSP'nize eklemeden kullanabilirsiniz:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Varsayılan alan adlarının tam listesi için bkz. İzin verilenler listesine alan adları ve IP adresleri ekleme.

CSP girişleri ve üst bilgi sınırları

Kiracı başına maksimum CSP girişi sayısı ve CSP üstbilgideki maksimum karakter sayısı değerleri yerleşiktir ve değiştirilemez.

  • Maksimum giriş sayısı: Kiracı başına en fazla 256 CSP girişi. Bunu aşarsanız yenilerini eklemeden önce gereksiz girişleri kaldırın.

  • Başlık uzunluğu: CSP başlığı en fazla 6.144 karakter uzunluğunda olabilir. Bu sınırı aşarsanız yenilerini eklemeden önce gereksiz girişleri kaldırın.

CSP girişi oluşturma

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
  2. Ekle'ye tıklayın.
  3. Bir isim belirtin.

  4. Kaynak adresini aşağıdaki biçimlerden birinde girin:

    • domain.com

    • *.domain.com

    Bilgi notuQlik Sense HTTPS uygular.
  5. Geçerli yönergeleri seçin.

  6. Ekle'ye tıklayın.

Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.

CSP girişini düzenleme

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
  2. Düzenlemek istediğiniz CSP girişini bulun, Daha fazla öğesine tıklayın ve Düzenle'yi seçin.
  3. CSP seçeneklerini gerektiği gibi değiştirin.
  4. Kaydet düğmesine tıklayın.

Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.

CSP girişini silme

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.

  2. Kaldırmak istediğiniz CSP girişlerini seçin ve Sil'e tıklayın.

  3. Silme işlemini onaylayın.

CSP üst bilgisini görüntüleme ve kopyalama

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
  2. Üst bilgiyi görüntüle'ye tıklayın.
  3. Diyalog penceresinde Panoya kopyala'ya tıklayın.
  4. Bitti'ye tıklayın.

Bu sayfa size yardımcı oldu mu?

Bu sayfa veya içeriği ile ilgili bir sorun; bir yazım hatası, eksik bir adım veya teknik bir hata bulursanız, bize bildirin, düzeltelim!