Ana içeriğe geç Tamamlayıcı içeriğe geç
Qlik Kaynakları

Content Security Policy yönetimi

Qlik Cloud, Siteler Arası Komut Dosyası Kodu (XSS) ve veri ekleme saldırıları gibi belirli saldırı türlerinin algılanıp azaltılmasına yardımcı olan ek bir güvenlik katmanı sağlayan Content Security Policy (CSP) Seviye 2'yi kullanır. Bu saldırılar, veri hırsızlığından site içeriğini bozmaya ve kötü amaçlı yazılım dağıtımına kadar her şey için kullanılır.

Qlik Cloud uygulamasında CSP, kiracı yöneticilerinin bir uzantının veya temanın belirli bir sayfa için yüklemesine izin verilen kaynakları denetlemesine olanak tanır. Birkaç istisna dışında politikalar daha çok sunucu kökenlerinin ve komut dosyası kodu uç noktalarının belirtilmesini kapsar. Bir uzantı veya tema, harici kaynaklara yönelik kaynak isteklerini içeriyorsa bunların kökenleri Content Security Policy içinde izin verilenler listesine eklenmiş olmalıdır.

Yönetim Konsolu'dan içerik güvenliği politikalarını yönetmek için Content Security Policy sayfasına gidin.

Daha fazla bilgi için bkz. MDN Web Docs: Content Security Policy (CSP).

Content Security Policy genel bakış

Yönetim Konsolu'un Content Security Policy sayfasında aşağıda açıklanan özellikler gösterilir.

Yönetim Konsolu özellikleri
Özellik Açıklama

Ad

Content Security Policy girişinin adı.

Köken

İzin verilenler listesine eklenecek etki alanı kökeni.

Yönerge

Köken için geçerli olan yönerge.

Son güncelleme

Girişin en son güncellendiği zaman.

Oluşturma tarihi

Girişin oluşturulduğu zaman.

Directives (Yönergeler)

Directive'ler (Yönerge'ler), içinden belirli kaynak türlerinin yüklenebileceği konumları denetler. Aşağıda açıklanan directive'ler (yönerge), Qlik Sense Enterprise içinde desteklenmektedir.

Qlik Sense Enterprise içindeki directive'ler (yönerge)
Directive (Yönerge) Açıklama

child-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları ve web çalışanları için geçerli kaynakları tanımlar.

İç içe geçmiş tarayıcı bağlamlarını ve çalışanları düzenlemek istiyorsanız sırayla frame-src ve worker-src directive'lerini (yönerge) kullanın.

form-action

Belirli bir bağlamdan form gönderimlerinin hedefi olarak kullanılabilen URL'leri kısıtlar.

media-src

<audio>, <video> ve <track> öğeleri kullanılarak ortam yüklemek için geçerli kaynakları belirtir.

style-src

Stil sayfaları için geçerli kaynakları belirtir.

connect-src

Komut dosyası kodu arabirimleri kullanılarak yüklenebilen URL'leri kısıtlar.

frame-src

<frame> ve <iframe> gibi öğeler kullanılarak yüklenen iç içe geçmiş tarayıcı bağlamları için geçerli kaynakları belirtir.
frame-ancestors <frame>, <iframe>, <object>, <embed> ve <applet> kullanarak kaynak eklemeye yönelik geçerli kaynakları belirtir.

object-src

<object>, <embed> ve <applet> öğeleri için geçerli kaynakları belirtir.

object-src tarafından denetlenen öğeler, eski HTML öğeleri olarak değerlendirilebilir ve yeni standartlaştırılmış özellikleri almayabilir (ör. güvenlik öznitelikleri korumalı alanı veya <iframe> izni). Bu nedenle bu fetch directive'in (getirme yönergesi) kısıtlanması önerilmez (örneğin, mümkünse açık şekilde object-src 'none' ayarını yapın).

worker-src

Worker, SharedWorker veya ServiceWorker kodları için geçerli kaynakları belirtir.

font-src

@font-face kullanılarak yüklenen yazı tipleri için geçerli kaynakları belirtir.

image-src

Resimlerin ve sık kullanılan simgelerin geçerli kaynaklarını belirtir.

script-src

JavaScript için geçerli kaynakları belirtir.

Qlik Cloud varsayılan İçerik Güvenlik Politikası

Qlik Cloud, tüm kullanıcılar için güvenli olarak listelenmiş etki alanlarını içeren varsayılan bir CSP'ye sahiptir. Örneğin, aşağıdaki etki alanlarından görüntüleri kendi içerik güvenlik politikanıza eklemeniz gerekmeden kullanabilirsiniz. Başka kaynaklardan alınan görüntülerin etki alanlarının içerik güvenlik politikasına eklenmesi gerekir.

Qlik Cloud içinde görüntü ve sık kullanılan simgelerin varsayılan kaynakları:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Tüm Qlik Cloud kullanıcılarına sunulan diğer varsayılan etki alanlarının bir listesi için bkz. İzin verilenler listesine alan adları ve IP adresleri ekleme.

Content Security Policy girişleri ve üst bilgi uzunluğu ile ilgili önemli noktalar

Kiracı başına izin verilen en fazla Content Security Policy girişi sayısı 256'dır. İzin verilen Content Security Policy girişi sayısını aştığınıza dair bir hata mesajı alırsanız fazlalık Content Security Policy girişlerini kaldırabilir ve yeni Content Security Policy girişinizi ekleyebilirsiniz.

Content Security Policy üst bilgisi en fazla 3.072 karakter uzunluğunda olabilir. Yeni bir Content Security Policy girişi eklerken Content Security Policy üst bilgisi uzunluğunu aştığınıza dair bir hata mesajı alırsanız fazlalık Content Security Policy girişlerini kaldırıp yeni Content Security Policy girişinizi ekleyebilirsiniz.

CSP üst bilgisinde izin verilen maksimum karakter sayısı varsayılan değeri ve kiracı başına izin verilen maksimum CSP girişi sayısı varsayılan değeri, Qlik Cloud uygulamasında yerleşiktir ve değiştirilemez.

Content Security Policy girişi oluşturma

Bilgi notuKiracı başına en fazla 256 Content Security Policy girişe izin verilir.

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policybölümüne gidin ve sağ üst köşedeki Ekle seçeneğine tıklayın.

  2. Diyalog penceresinde Content Security Policy için bir ad verin.

  3. Kaynak adresini aşağıdaki biçimlerden birinde yazın:

    • domain.com

    • *.domain.com

    Qlik Sense HTTPS uygular.

  4. Köken için geçerli olan directive'i (yönerge) seçin.

    Bilgi notuBirkaç directive (yönerge) ekleyebilirsiniz.
  5. Ekle'ye tıklayın.
Bilgi notuİstemci kullanan kullanıcıların bir Content Security Policy oluşturulduğunda ya da düzenlendiğinde değişikliklerin geçerli olması için tarayıcılarını yenilemeleri gerekir.

Content Security Policy girişini düzenleme

Aşağıdakileri yapın:

  1. Yönetim Konsolu içinde Content Security Policy bölümüne gidin.
  2. Düzenlemek istediğiniz CSP girişini bulun, Daha fazla öğesine tıklayın ve Düzenle'yi seçin.
  3. Diyalog penceresinde CSP girişi seçeneklerini istediğiniz gibi değiştirin.
  4. Kaydet düğmesine tıklayın.
Bilgi notuİstemci kullanan kullanıcıların bir Content Security Policy oluşturulduğunda ya da düzenlendiğinde değişikliklerin geçerli olması için tarayıcılarını yenilemeleri gerekir.

Content Security Policy girişini silme

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policy bölümüne gidin ve kaldırmak istediğiniz CSP girişini seçip Sil'e tıklayın.

    Bilgi notuBir defada birden çok öğeyi kaldırabilirsiniz.
  2. CSP girişini silmek istediğinizi onaylayın.

Content Security Policy üst bilgisini kopyalama

Bilgi notu Content Security Policy üst bilgisinde en fazla 6,144 karaktere izin verilir.

Aşağıdakileri yapın:

  1. Yönetim Konsolu'da Content Security Policy bölümüne giderek Üst bilgiyi görüntüle seçeneğine tıklayın.
  2. Diyalog penceresinde Panoya kopyala'ya tıklayın.
  3. Bitti'ye tıklayın.

Bu sayfa size yardımcı oldu mu?

Bu sayfa veya içeriği ile ilgili bir sorun; bir yazım hatası, eksik bir adım veya teknik bir hata bulursanız, bize bildirin, düzeltelim!

Geri bildiriminizi buradan iletin