Ana içeriğe geç

Content Security Policy yönetimi

Qlik Sense SaaS sürümleri, Siteler Arası Komut Dosyası Kodu (XSS) ve veri ekleme saldırıları gibi belirli saldırı türlerinin algılanıp azaltılmasına yardımcı olan ek bir güvenlik katmanı sağlayan Content Security Policy (CSP) Düzey 2'yi kullanır. Bu saldırılar, veri hırsızlığından site içeriğini bozmaya ve kötü amaçlı yazılım dağıtımına kadar her şey için kullanılır.

Qlik Sense Enterprise uygulamasında CSP, kiracı yöneticilerinin bir uzantının veya temanın belirli bir sayfa için yüklemesine izin verilen kaynakları denetlemesine olanak tanır. Birkaç istisna dışında politikalar daha çok sunucu kökenlerinin ve komut dosyası kodu uç noktalarının belirtilmesini kapsar. Bir uzantı veya tema, harici kaynaklara yönelik kaynak isteklerini içeriyorsa bunların kökenleri Content Security Policy içinde izin verilenler listesine alınmış olmalıdır.

Yönetim Konsolu'dan içerik güvenliği politikalarını yönetmek için Content Security Policy sayfasına gidin.

Daha fazla bilgi için bkz. MDN Web Docs: Content Security Policy (CSP).

Content Security Policy genel bakış

Yönetim Konsolu'un Content Security Policy sayfasında aşağıda açıklanan özellikler gösterilir.

Yönetim Konsolu özellikleri
Özellik Açıklama

Ad

Content Security Policy girişinin adı.

Köken

İzin verilenler listesine alınacak etki alanı kökeni.

Yönerge

Köken için geçerli olan yönerge.

Son güncelleme

Girişin en son güncellendiği zaman.

Oluşturma tarihi

Girişin oluşturulduğu zaman.

Directives (Yönergeler)

Directive'ler (Yönerge'ler), içinden belirli kaynak türlerinin yüklenebileceği konumları denetler. Aşağıda açıklanan directive'ler (yönerge), Qlik Sense Enterprise içinde desteklenmektedir.

Qlik Sense Enterprise içindeki directive'ler (yönerge)
Directive (Yönerge) Açıklama

child-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları ve web çalışanları için geçerli kaynakları tanımlar.

İç içe geçmiş tarayıcı bağlamlarını ve çalışanları düzenlemek istiyorsanız sırayla frame-src ve worker-src directive'lerini (yönerge) kullanın.

form-action

Belirli bir bağlamdan form gönderimleri hedefi olarak kullanılabilen URL'leri kısıtlar.

media-src

<audio>, <video> ve <track> öğeleri kullanılarak ortam yüklemek için geçerli kaynakları belirtir.

style-src

Stil sayfaları için geçerli kaynakları belirtir.

connect-src

Komut dosyası kodu arabirimleri kullanılarak yüklenebilen URL'leri kısıtlar.

frame-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları için geçerli kaynakları belirtir.
frame-ancestors <frame>, <iframe>, <object>, <embed> ve <applet> kullanarak kaynak eklemeye yönelik geçerli kaynakları belirtir.

object-src

<object>, <embed> ve <applet> öğeleri için geçerli kaynakları belirtir.

object-src tarafından denetlenen öğeler, eski HTML öğeleri olarak değerlendirilebilir ve yeni standartlaştırılmış özellikleri almayabilir (ör. güvenlik öznitelikleri korumalı alanı veya <iframe> izni). Bu nedenle bu fetch directive'in (getirme yönergesi) kısıtlanması önerilmez (örneğin, mümkünse açık şekilde object-src 'none' ayarını yapın).

worker-src

Worker, SharedWorker veya ServiceWorker kodları için geçerli kaynakları belirtir.

font-src

@font-face kullanılarak yüklenen yazı tipleri için geçerli kaynakları belirtir.

image-src

Resimlerin ve sık kullanılan simgelerin geçerli kaynaklarını belirtir.

script-src

JavaScript için geçerli kaynakları belirtir.

Content Security Policy girişleri ve üst bilgi uzunluğu ile ilgili önemli noktalar

Kiracı başına izin verilen en fazla Content Security Policy girişi sayısı 256'dır. İzin verilen Content Security Policy girişi sayısını aştığınıza dair bir hata mesajı alırsanız fazlalık Content Security Policy girişlerini kaldırabilir ve yeni Content Security Policy girişinizi ekleyebilirsiniz.

Content Security Policy üst bilgisi en fazla 3.072 karakter uzunluğunda olabilir. Yeni bir Content Security Policy girişi eklerken Content Security Policy üst bilgisi uzunluğunu aştığınıza dair bir hata mesajı alırsanız fazlalık Content Security Policy girişlerini kaldırıp yeni Content Security Policy girişinizi ekleyebilirsiniz.

CSP üst bilgisinde izin verilen maksimum karakter sayısı varsayılan değeri ve kiracı başına izin verilen maksimum CSP girişi sayısı varsayılan değeri, Qlik Sense Enterprise SaaS uygulamasında yerleşiktir ve değiştirilemez.

Content Security Policy girişi oluşturma

Bilgi notuKiracı başına en fazla 256 Content Security Policy girişe izin verilir.

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policybölümüne gidin ve sağ üst köşedeki Ekle seçeneğine tıklayın.
  2. Diyalog penceresinde Content Security Policy için bir ad verin.

  3. Kökenin adresini şu biçimde yazın: domain.com.

    Qlik Sense HTTPS uygular.

  4. Köken için geçerli olan directive'i (yönerge) seçin.

    Bilgi notuBirkaç directive (yönerge) ekleyebilirsiniz.
  5. Ekle'ye tıklayın.
Bilgi notuİstemci kullanan kullanıcıların bir Content Security Policy oluşturulduğunda ya da düzenlendiğinde değişikliklerin geçerli olması için tarayıcılarını yenilemeleri gerekir.

Content Security Policy girişini düzenleme

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policy bölümüne gidin ve düzenlemek istediğiniz CSP girişini seçip Düzenle'ye tıklayın.
  2. Diyalog penceresinde CSP giriş seçeneklerini istediğiniz şekilde değiştirin.
  3. Kaydet düğmesine tıklayın.
Bilgi notuİstemci kullanan kullanıcıların bir Content Security Policy oluşturulduğunda ya da düzenlendiğinde değişikliklerin geçerli olması için tarayıcılarını yenilemeleri gerekir.

Content Security Policy girişini silme

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policy bölümüne gidin ve kaldırmak istediğiniz CSP girişini seçip Sil'e tıklayın.

    Bilgi notuBir defada birden çok öğeyi kaldırabilirsiniz.
  2. CSP girişini silmek istediğinizi onaylayın.

Content Security Policy üst bilgisini kopyalama

Bilgi notu Content Security Policy üst bilgisinde en fazla 6,144 karaktere izin verilir.

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policy bölümüne giderek Üst bilgiyi görüntüle seçeneğine tıklayın.
  2. Diyalog penceresinde Panoya kopyala'ya tıklayın.
  3. Bitti'ye tıklayın.