跳到主要内容

管理 Content Security Policy

Qlik Sense 的云版本利用 Content Security Policy (CSP) 级别 2,它提供了额外的安全层,有助于检测和减轻某些类型的攻击,包括跨站点脚本 (XSS) 和数据注入攻击。这些攻击用于数据盗窃、网站诽谤、恶意软件分发等相关所有方面。

Qlik Sense Enterprise 中,CSP 允许租户管理员控制允许扩展或主题为给定页面加载的资源。除了少数例外,策略主要涉及指定服务器来源和脚本终点。如果扩展或主题包含指向外部资源的资源请求,则这些资源的来源必须列在Content Security Policy的许可名单中。

要在 管理控制台 中管理内容安全策略,请导航到 Content Security Policy 页。

有关更多信息,请参见 MDN Web 文档:内容安全政策 (CSP)

Content Security Policy 概述

管理控制台Content Security Policy 页面中,显示以下描述的属性。

管理控制台属性
属性 说明

Name

内容安全策略条目的名称。

Origin

要列入许可名单的域来源。

Directive

适用于来源的指令。

上次更新日期

条目上次更新的时间。

创建日期

条目创建时间。

指令

指令控制可从中加载特定资源类型的位置。下面所述的指令在 Qlik Sense Enterprise 中受支持。

Qlik Sense Enterprise 中的指令
指令 说明

child-src

定义 Web 工作线程和使用元素(诸如 <frame><iframe>)加载的嵌套的浏览上下文的有效源。

如果您希望调节嵌套的浏览上下文和工作线程,可分别使用 frame-srcworker-src 指令。

form-action

限制可以用作来自给定上下文的表单提交目标的 URL。

media-src

使用 <audio><video><track> 元素指定加载媒体的有效源。

style-src

指定样式工作表的有效源。

connect-src

限制可使用脚本界面加载的 URL。

frame-src

使用元素(诸如 <frame><iframe>),为嵌套的浏览上下文加载指定有效的源。
frame-ancestors 使用 <frame><iframe><object><embed><applet> 指定用于嵌入资源的有效源。

object-src

指定 <object><embed><applet> 元素的有效源。

object-src 控制的元素可能碰巧被视为传统 HTML 元素,并且没有检索新的标准化功能(诸如安全属性沙盒,或允许 <iframe>)。因此建议限制该获取指令(例如在可行时,显式地设置 object-src 'none')。

worker-src

WorkerSharedWorkerServiceWorker 脚本指定有效的源。

font-src

为使用 @font-face 加载的字体指定有效源。

image-src

指定图像和偏爱图标的有效源。

script-src

为 JavaScript 指定有效的源。

Content Security Policy 条目和标题长度考虑事项

每个租户允许的最大 Content Security Policy 条目数为 256。如果收到超过允许的 Content Security Policy 条目数的错误消息,可以删除多余 Content Security Policy 条目,然后添加新 Content Security Policy 条目。

Content Security Policy 标题的最大长度是 3,072 个字符。如果在添加新 Content Security Policy 条目时收到超过 Content Security Policy 标题长度的错误消息,则可以删除多余 Content Security Policy 条目,然后添加新 Content Security Policy 条目。

CSP 标题默认值中允许的最大字符数和每个租户默认值允许的最大 CSP 条目数是内置的,不能在 Qlik Sense Enterprise SaaS 中更改。

创建 Content Security Policy 条目

信息注释每个租户最多允许 256 个 Content Security Policy 条目。

执行以下操作:

  1. 管理控制台 中,转到 Content Security Policy 部分,然后单击右上角的添加
  2. 在对话框中,为 Content Security Policy 命名。

  3. 以下面的格式键入源的地址:domain.com

    Qlik Sense 执行 HTTPS。

  4. 选择适用于来源的指令。

    信息注释您可添加数个指令。
  5. 单击添加
信息注释创建或编辑 Content Security Policy 时正在使用客户端的用户需要刷新浏览器方可使更改生效。

编辑 Content Security Policy 条目

执行以下操作:

  1. 管理控制台 中,转到 Content Security Policy 部分并选择您要编辑的 CSP 条目,然后单击编辑
  2. 在对话框中,根据需要更改 CSP 条目选项。
  3. 单击保存
信息注释创建或编辑 Content Security Policy 时正在使用客户端的用户需要刷新浏览器方可使更改生效。

删除 Content Security Policy 条目

执行以下操作:

  1. 管理控制台 中,转到 Content Security Policy 部分并选择您要移除的 CSP 条目,然后单击删除

    信息注释您可一次删除多个项目。
  2. 确认您要删除 CSP 条目。

复制 Content Security Policy 标题

信息注释 标题中最多允许 6,144 个字符。Content Security Policy

执行以下操作:

  1. 管理控制台 中,转到 Content Security Policy 部分,然后单击查看标题
  2. 在对话框中,单击复制到剪切板
  3. 单击完成