管理 Content Security Policy
Qlik Cloud 使用 Content Security Policy (CSP) 级别 2,其提供了额外的安全层,有助于检测和减轻某些类型的攻击,包括跨站点脚本 (XSS) 和数据注入攻击。这些攻击用于数据盗窃、网站诽谤、恶意软件分发等相关所有方面。
在 Qlik Cloud 中,CSP 允许租户管理员控制允许扩展或主题为给定页面加载的资源。除了少数例外,策略主要涉及指定服务器来源和脚本终点。如果扩展或主题包含对外部资源的资源请求,则必须将其来源添加到 Content Security Policy 中的允许列表中。
要在 管理控制台 中管理内容安全策略,请导航到 Content Security Policy 页。
有关更多信息,请参阅 MDN Web 文档:内容安全政策 (CSP)。
Content Security Policy 概述
在 管理控制台 的 Content Security Policy 页面中,显示以下描述的属性。
| 属性 | 说明 |
|---|---|
|
Name |
内容安全策略条目的名称。 |
|
Origin |
要添加到允许列表的域源。 |
|
Directive |
适用于来源的指令。 |
|
上次更新日期 |
条目上次更新的时间。 |
|
创建日期 |
条目创建时间。 |
指令
指令控制可从中加载特定资源类型的位置。下面所述的指令在 Qlik Sense Enterprise 中受支持。
| 指令 | 说明 |
|---|---|
|
child-src |
定义 Web 工作线程和使用元素(诸如 <frame> 和 <iframe>)加载的嵌套的浏览上下文的有效源。 如果您希望调节嵌套的浏览上下文和工作线程,可分别使用 frame-src 和 worker-src 指令。 |
|
form-action |
限制可以用作来自给定上下文的表单提交目标的 URL。 |
|
media-src |
使用 <audio>、<video> 和 <track> 元素指定加载媒体的有效源。 |
|
style-src |
指定样式工作表的有效源。 |
|
connect-src |
限制可使用脚本界面加载的 URL。 |
|
frame-src |
使用元素(诸如 <frame> 和 <iframe>),为嵌套的浏览上下文加载指定有效的源。 |
| frame-ancestors | 使用 <frame>、<iframe>、<object>、<embed> 和 <applet> 指定用于嵌入资源的有效源。 |
|
object-src |
指定 <object>、<embed> 和 <applet> 元素的有效源。 由 object-src 控制的元素可能碰巧被视为传统 HTML 元素,并且没有检索新的标准化功能(诸如安全属性沙盒,或允许 <iframe>)。因此建议限制该获取指令(例如在可行时,显式地设置 object-src 'none')。 |
|
worker-src |
为 Worker、SharedWorker 或 ServiceWorker 脚本指定有效的源。 |
|
font-src |
为使用 @font-face 加载的字体指定有效源。 |
|
image-src |
指定图像和偏爱图标的有效源。 |
|
script-src |
为 JavaScript 指定有效的源。 |
Qlik Cloud 默认内容安全政策
Qlik Cloud 对所有用户都有一个默认 CSP,其中包括安全列出的域。例如,您可以使用来自以下域的图像,而无需将它们添加到您自己的内容安全策略中。从其他来源拍摄的图像必须将其域添加到内容安全策略中。
Qlik Cloud 中图像和收藏夹的默认来源:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
有关所有 Qlik Cloud 用户可用的其他默认域的列表,请参阅允许列出域名和 IP 地址。
Content Security Policy 条目和标题长度考虑事项
每个租户允许的最大 Content Security Policy 条目数为 256。如果收到超过允许的 Content Security Policy 条目数的错误消息,可以删除多余 Content Security Policy 条目,然后添加新 Content Security Policy 条目。
Content Security Policy 标题的最大长度是 3,072 个字符。如果在添加新 Content Security Policy 条目时收到超过 Content Security Policy 标题长度的错误消息,则可以删除多余 Content Security Policy 条目,然后添加新 Content Security Policy 条目。
CSP 标题默认值中允许的最大字符数和每个租户默认值允许的最大 CSP 条目数是内置的,不能在 Qlik Cloud 中更改。
创建 Content Security Policy 条目
执行以下操作:
- 在 管理控制台 中,转到 Content Security Policy 部分,然后单击右上角的添加。
-
在对话框中,为 Content Security Policy 命名。
-
用以下格式之一键入源地址:
-
domain.com
-
*.domain.com
Qlik Sense 执行 HTTPS。
-
-
选择适用于来源的指令。
信息注释您可添加数个指令。 - 单击添加。
编辑 Content Security Policy 条目
执行以下操作:
- 在 管理控制台 中,转到 Content Security Policy 部分。
- 找到要编辑的 CSP 条目,单击
,然后选择编辑。 - 在对话框中,根据需要更改 CSP 条目选项。
- 单击保存。
删除 Content Security Policy 条目
执行以下操作:
-
在 管理控制台 中,转到 Content Security Policy 部分并选择您要移除的 CSP 条目,然后单击删除。
信息注释您可一次删除多个项目。 - 确认您要删除 CSP 条目。
复制 Content Security Policy 标题
执行以下操作:
- 在 管理控制台 中,转到 Content Security Policy 部分,然后单击查看标题。
- 在对话框中,单击复制到剪切板。
- 单击完成。