Content Security Policy (CSP) Yönetme
Siteler Arası Komut Dosyası Kodu (XSS) ve veri ekleme gibi saldırılara karşı korumayı artırmak için Qlik Cloud içinde İçerik Güvenliği Politikanızı (CSP) kontrol edin ve yönetin.
Qlik Cloud, XSS ve veri ekleme gibi belirli saldırı türlerinin algılanıp azaltılmasına yardımcı olan ek bir güvenlik katmanı sağlayan Content Security Policy (CSP) Seviye 2'yi kullanır. Bu saldırılar veri hırsızlığına, site içeriğini bozmaya ve kötü amaçlı yazılım dağıtımına yol açabilir.
CSP, kiracı yöneticilerinin bir uzantının veya temanın belirli bir sayfa için yüklemesine izin verilen kaynakları denetlemesine olanak tanır. Politikalar genellikle sunucu kökenlerinin ve komut dosyası kodu uç noktalarının belirtilmesini kapsar. Bir uzantı veya tema, harici kaynaklara yönelik kaynak isteklerini içeriyorsa bunların kökenleri CSP içinde izin verilenler listesine eklenmiş olmalıdır.
Daha fazla bilgi için bkz. MDN Web Docs: İçerik Güvenliği Politikası (CSP).
Directives (Yönergeler)
Yönergeler, içinden belirli kaynak türlerinin yüklenebileceği konumları denetler. Aşağıdaki yönergeler desteklenmektedir:
Yönerge | Açıklama |
---|---|
child-src |
<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları ve web çalışanları için geçerli kaynakları tanımlar. Daha spesifik kontrol için frame-src ve worker-src kullanın. |
form-action |
Belirli bir bağlamdan gönderimlerin hedefi olarak kullanılabilen URL'leri kısıtlar. |
media-src |
<audio>, <video> ve <track> öğeleri kullanılarak ortam yüklemek için geçerli kaynakları belirtir. |
style-src |
Stil sayfaları için geçerli kaynakları belirtir. |
connect-src |
Komut dosyası kodu arabirimleri kullanılarak yüklenebilen URL'leri kısıtlar. |
frame-src |
<frame> ve <iframe> gibi öğeler kullanılarak iç içe geçmiş tarayıcı bağlamları için geçerli kaynakları belirtir. |
frame-ancestors | <frame>, <iframe>, <object>, <embed> ve <applet> kullanarak kaynak eklemeye yönelik geçerli kaynakları belirtir. |
object-src |
<object>, <embed> ve <applet> öğeleri için geçerli kaynakları belirtir. object-src tarafından denetlenen öğeler, eski HTML öğeleri olarak değerlendirilebilir ve yeni standartlaştırılmış özellikleri almaz (ör. <iframe> için güvenlik öznitelikleri sandbox veya allow). Bu fetch directive'in (getirme yönergesi) kısıtlanması önerilmez (örneğin, mümkünse açık şekilde object-src 'none' ayarlayarak). |
worker-src |
Worker, SharedWorker veya ServiceWorker kodları için geçerli kaynakları belirtir. |
font-src |
@font-face kullanılarak yüklenen yazı tipleri için geçerli kaynakları belirtir. |
image-src |
Resimlerin ve sık kullanılan simgelerin geçerli kaynaklarını belirtir. |
script-src |
JavaScript için geçerli kaynakları belirtir. |
Qlik Cloud varsayılan CSP
Qlik Cloud, güvenli olarak listelenmiş etki alanlarını içeren varsayılan bir CSP'ye sahiptir. Örneğin, aşağıdaki etki alanlarından görüntüleri kendi CSP'nize eklemeden kullanabilirsiniz:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Varsayılan alan adlarının tam listesi için bkz. İzin verilenler listesine alan adları ve IP adresleri ekleme.
CSP girişleri ve üst bilgi sınırları
Kiracı başına maksimum CSP girişi sayısı ve CSP üstbilgideki maksimum karakter sayısı değerleri yerleşiktir ve değiştirilemez.
-
Maksimum giriş sayısı: Kiracı başına en fazla 256 CSP girişi. Bunu aşarsanız yenilerini eklemeden önce gereksiz girişleri kaldırın.
-
Başlık uzunluğu: CSP başlığı en fazla 6.144 karakter uzunluğunda olabilir. Bu sınırı aşarsanız yenilerini eklemeden önce gereksiz girişleri kaldırın.
CSP girişi oluşturma
Aşağıdakileri yapın:
- Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
- Ekle'ye tıklayın.
-
Bir isim belirtin.
-
Kaynak adresini aşağıdaki biçimlerden birinde girin:
-
domain.com
-
*.domain.com
Bilgi notuQlik Sense HTTPS uygular. -
-
Geçerli yönergeleri seçin.
- Ekle'ye tıklayın.
Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.
CSP girişini düzenleme
Aşağıdakileri yapın:
- Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
- Düzenlemek istediğiniz CSP girişini bulun, öğesine tıklayın ve Düzenle'yi seçin.
- CSP seçeneklerini gerektiği gibi değiştirin.
- Kaydet düğmesine tıklayın.
Değişikliklerin yürürlüğe girmesi için kullanıcıların tarayıcılarını yenilemeleri gerekir.
CSP girişini silme
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
-
Kaldırmak istediğiniz CSP girişlerini seçin ve Sil'e tıklayın.
- Silme işlemini onaylayın.
CSP üst bilgisini görüntüleme ve kopyalama
Aşağıdakileri yapın:
- Yönetim etkinlik merkezinde Content Security Policy bölümüne gidin.
- Üst bilgiyi görüntüle'ye tıklayın.
- Diyalog penceresinde Panoya kopyala'ya tıklayın.
- Bitti'ye tıklayın.