管理 Content Security Policy

在 Qlik Cloud 中控制和管理您的内容安全策略 (CSP)，以增强对跨站点脚本 (XSS) 和数据注入等攻击的防护。

Qlik Cloud 使用 Content Security Policy (CSP) 级别 2，其提供了额外的安全层，有助于检测和减轻某些类型的攻击，包括 XSS 和数据注入攻击。这些攻击会导致数据被盗、网站被篡改和恶意软件的分发。

CSP 允许租户管理员控制扩展或主题可以为给定页面加载的资源。策略主要涉及指定服务器来源和脚本端点。如果扩展或主题包含对外部资源的资源请求，则必须将这些来源添加到 CSP 中的允许列表中。

有关更多信息，请参阅 MDN Web 文档：内容安全政策 (CSP)。

指令

指令控制可从中加载特定资源类型的位置。支持以下指令：

Qlik Cloud 默认 CSP

Qlik Cloud 具有默认 CSP，其中包括被视为安全的域。例如，您可以使用来自以下域的图像，而无需将它们添加到您的 CSP。

• maps.qlikcloud.com

• ibasemaps-api.arcgis.com

• cdn.pendo.io

• app.pendo.io

• pendo-static-5763789454311424.storage.googleapis.com

• data.pendo.io

• *.gravatar.com *.wp.com *。

• googleusercontent.com

• cdn.qlik-stage.com

• cdn.qlikcloud.com

有关默认域的完整列表，请参阅允许列出域名和 IP 地址 。

CSP 条目和标题限制

每个租户的最大 CSP 条目数值和 CSP 标题中的最大字符数值是内置的，不能更改。

• 最大条目数：每个租户最多可有 256 个 CSP 条目。如果超过这个范围，请先删除多余的条目，然后再增加新条目。

• 标题长度：CSP 标题长度最长可为 6,144 个字符。如果超过这个限值，请先删除多余的条目，然后再增加新条目。

创建 CSP 条目

执行以下操作：

1. 在 Administration 活动中心内，前往Content Security Policy。
2. 单击添加。

3. 提供名称。

4. 用以下格式之一键入源：

   • domain.com

   • *.domain.com

   信息注释Qlik Sense 执行 HTTPS。

5. 选择适用的指令。

6. 单击添加。

用户必须刷新浏览器，更改才能生效。

编辑 CSP 条目

执行以下操作：

1. 在 Administration 活动中心内，前往Content Security Policy。
2. 找到要编辑的 CSP 条目，单击 ，然后选择编辑。
3. 根据需要更改 CSP 选项。
4. 单击保存。

用户必须刷新浏览器，更改才能生效。

删除 CSP 条目

执行以下操作：

1. 在 Administration 活动中心内，前往Content Security Policy。

2. 选择要删除的 CSP 条目，然后单击删除。

3. 确认删除。

查看和复制 CSP 标题

执行以下操作：

1. 在 Administration 活动中心内，前往Content Security Policy。
2. 单击查看标题。
3. 在对话框中，单击复制到剪切板。
4. 单击完成。