Ana içeriğe geç Tamamlayıcı içeriğe geç
Qlik Kaynakları
SearchUnify araması yükleniyor Ürününüzle ilgili yardıma ihtiyacınız varsa lütfen Qlik Desteği ile iletişime geçin.
Qlik Müşteri Portalı
SearchUnify araması yükleniyor Ürününüzle ilgili yardıma ihtiyacınız varsa lütfen Qlik Desteği ile iletişime geçin.
Qlik Müşteri Portalı

İçerik Güvenliği Politikasını (Content Security Policy) (CSP) Yönetme

Siteler arası komut Dosyası kodu (XSS) ve veri ekleme saldırıları gibi güvenlik tehditlerinin riskini azaltmak için Qlik Cloud içinde İçerik Güvenliği Politikanızı (CSP) kontrol edin ve yönetin.

Qlik Cloud, İçerik Güvenliği Politikası (CSP) Düzey 2'yi kullanır. CSP; uygulamalar, genişlemeler ve temalar tarafından hangi harici kaynakların yüklenebileceğini kısıtlayarak ek bir güvenlik katmanı sağlar. CSP, izin verilen kaynakları ve kaynak türlerini sınırlayarak kötü amaçlı kod yürütmeyi, veri hırsızlığını, site içeriğini bozmayı ve kötü amaçlı yazılım dağıtımını önlemeye yardımcı olur.

Gerekli izinlere sahip yöneticiler, genişlemelerin ve temaların hangi harici kaynakları yüklemesine izin verildiğini kontrol etmek için CSP kullanabilir. Bir uzantı veya tema, harici kaynaklardan kaynak isterse bunların kökenleri, CSP izin verilenler listesine açık bir şekilde eklenmiş olmalıdır.

CSP hakkında daha fazla bilgi için bkz. MDN Web Docs: İçerik Güvenliği Politikası (CSP).

Gerekli izinler

İçerik Güvenliği Politikası girişlerini yönetmek için aşağıdakilerden birine sahip olmanız gerekir:

  • Kiracı Yöneticisi rolü

  • Yönetici CSP'si iznini içeren özel bir rol

Directives (Yönergeler)

Yönergeler, belirli kaynak türleri için hangi kaynaklara izin verildiğini tanımlar. Aşağıdaki yönergeler desteklenmektedir:

CSP yönergeleri
Yönerge Açıklama

child-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları ve web çalışanları için geçerli kaynakları tanımlar. Daha spesifik kontrol için frame-src ve worker-src kullanın.

connect-src

Komut dosyası kodu arabirimleri kullanılarak yüklenebilen URL'leri kısıtlar.

font-src

@font-face kullanılarak yüklenen yazı tipleri için geçerli kaynakları belirtir.

form-action

Belirli bir bağlamdan gönderimlerin hedefi olarak kullanılabilen URL'leri kısıtlar.
frame-ancestors <frame>, <iframe>, <object>, <embed> ve <applet> öğelerini kullanarak kaynak eklemeye yönelik geçerli kaynakları belirtir.

frame-src

<frame> ve <iframe> gibi öğeler kullanılarak iç içe geçmiş tarayıcı bağlamları için geçerli kaynakları belirtir.

img-src

Resimlerin ve sık kullanılan simgelerin geçerli kaynaklarını belirtir.

media-src

<audio>, <video> ve <track> öğeleri kullanılarak ortam yüklemek için geçerli kaynakları belirtir.

object-src

<object>, <embed> ve <applet> öğeleri için geçerli kaynakları belirtir.

object-src tarafından denetlenen öğeler, eski HTML öğeleri olarak değerlendirilebilir ve yeni standartlaştırılmış özellikleri almaz (ör. <iframe> için güvenlik öznitelikleri sandbox veya allow). Bu fetch directive'in (getirme yönergesi), mümkün olan durumlarda örneğin, açık şekilde object-src 'none' ayarlayarak kısıtlanması önerilmez.

script-src

JavaScript için geçerli kaynakları belirtir.

style-src

Stil sayfaları için geçerli kaynakları belirtir.

worker-src

Worker, SharedWorker veya ServiceWorker kodları için geçerli kaynakları belirtir.

Qlik Cloud varsayılan CSP

Qlik Cloud, izin verilen etki alanları kümesiyle varsayılan bir İçerik Güvenliği Politikası içerir. Bu etki alanlarındaki kaynaklar, CSP girişleri eklemeden kullanılabilir.

Örnekler şunları içerir:

  • *.qlikcloud.com – temel Qlik Cloud hizmetleri ve API'ları

  • cdn.pendo.io – bildirim içeriği

  • gravatar.com – kullanıcı profili simgeleri

Tam liste için bkz. Etki alanlarını ve IP adreslerini izin verilenler listesine alma.

CSP girişleri ve üst bilgi sınırları

Aşağıdaki sınırlar yerleşiktir ve değiştirilemez. Bu sınırlardan birine ulaşırsanız gereksiz veya kullanılmayan CSP girişlerini kaldırın.

  • Maksimum CSP girişi sayısı: Kiracı başına 256 giriş

  • Maksimum CSP başlık uzunluğu: 6.144 karakter

CSP girişi oluşturma

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde İçerik Güvenliği Politikası (Content Security Policy) bölümüne gidin.
  2. Ekle'ye tıklayın.

  3. Bir isim belirtin.

  4. Kaynak adresini aşağıdaki biçimlerden birinde girin:

    • domain.com

    • *.domain.com

    Bilgi notuQlik Sense CSP girdileri için HTTPS'yi zorunlu kılar.

  5. Geçerli yönergeleri seçin.

  6. Ekle'ye tıklayın.

Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.

CSP girişini düzenleme

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde İçerik Güvenliği Politikası bölümüne gidin.
  2. Düzenlemek istediğiniz CSP girişini bulun, Daha fazla öğesine tıklayın ve Düzenle'yi seçin.
  3. CSP seçeneklerini gerektiği gibi değiştirin.
  4. Kaydet düğmesine tıklayın.

Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.

CSP girişini silme

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde İçerik Güvenliği Politikası bölümüne gidin.

  2. Kaldırmak istediğiniz CSP girişlerini seçin ve Sil'e tıklayın.

  3. Silme işlemini onaylayın.

CSP üst bilgisini görüntüleme ve kopyalama

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezinde İçerik Güvenliği Politikası (Content Security Policy) bölümüne gidin.
  2. Üst bilgiyi görüntüle'ye tıklayın.
  3. Diyalog penceresinde Panoya kopyala'ya tıklayın.
  4. Bitti'ye tıklayın.

Bu sayfa size yardımcı oldu mu?

Bu sayfa veya içeriği ile ilgili bir sorun; bir yazım hatası, eksik bir adım veya teknik bir hata bulursanız lütfen bize bildirin!

Geri bildiriminizi buradan iletin