管理内容安全策略 (CSP)
在 Qlik Cloud 中控制和管理您的内容安全策略 (CSP),以降低跨站点脚本 (XSS) 和数据注入攻击等安全威胁的风险。
Qlik Cloud 使用内容安全策略 (CSP) 级别 2。CSP 通过限制应用程序、扩展和主题可以加载的外部资源,提供了一个额外的安全层。通过限制允许的来源和资源类型,CSP 有助于防止恶意代码执行、数据窃取、网站篡改和恶意软件分发。
具有所需权限的管理员可以使用 CSP 来控制扩展和主题允许加载哪些外部资源。如果扩展或主题请求来自外部来源的资源,则必须将这些来源明确添加到 CSP 允许列表中。
有关 CSP 的更多信息,请参阅 MDN Web 文档:内容安全政策 (CSP)。
所需的权限
要管理内容安全策略条目,您必须拥有以下其中一项:
-
“租户管理员”角色
-
包含 管理员 CSP 权限的自定义角色
指令
指令定义了特定类型资源允许的来源。支持以下指令:
| 指令 | 描述 |
|---|---|
|
child-src |
定义 Web 工作线程和使用元素(诸如 <frame> 和 <iframe>)加载的嵌套浏览上下文的有效源。使用 frame-src 和 worker-src 可实现更具体的控制。 |
|
connect-src |
限制可使用脚本接口加载的 URL。 |
|
font-src |
为使用 @font-face 加载的字体指定有效源。 |
|
form-action |
限制可以用作来自给定上下文的提交目标的 URL。 |
| frame-ancestors | 指定使用 <frame>、<iframe>、<object>、<embed> 和 <applet> 元素嵌入资源的有效源。 |
|
frame-src |
使用元素(诸如 <frame> 和 <iframe>),为嵌套的浏览上下文指定有效的源。 |
|
img-src |
指定图像和偏爱图标的有效源。 |
|
media-src |
使用 <audio>、<video> 和 <track> 元素指定用于加载媒体的有效源。 |
|
object-src |
指定 <object>、<embed> 和 <applet> 元素的有效源。 由 object-src 控制的元素被视为传统 HTML 元素,并且没有获得新的标准化功能(诸如 <iframe> 的安全属性 sandbox 或 allow)。建议在可能的情况下限制此获取指令,例如通过设置 object-src 'none'。 |
|
script-src |
为 JavaScript 指定有效的源。 |
|
style-src |
指定样式工作表的有效源。 |
|
worker-src |
为 Worker、SharedWorker 或 ServiceWorker 脚本指定有效的源。 |
Qlik Cloud 默认 CSP
Qlik Cloud 包含一个默认的内容安全策略,其中带有一组允许的域。来自这些域的资源可以在不添加 CSP 条目的情况下使用。
示例包括:
-
*.qlikcloud.com – Qlik Cloud 核心服务和 API
-
cdn.pendo.io – 通知内容
-
gravatar.com – 用户资料图标
完整列表请参见允许列出域名和 IP 地址。
CSP 条目和标题限制
以下限制是内置的,无法更改。如果您达到任一限制,请删除冗余或未使用的 CSP 条目。
-
最大 CSP 条目数:每个租户 256 个条目
-
最大 CSP 标头长度:6,144 个字符
创建 CSP 条目
执行以下操作:
- 在 Administration 活动中心,转到内容安全政策。
- 单击添加。
-
提供名称。
-
用以下格式之一键入源:
-
domain.com
-
*.domain.com
信息注释Qlik Sense 对 CSP 条目强制执行 HTTPS。 -
-
选择适用的指令。
- 单击添加。
用户必须刷新浏览器,更改才能生效。
编辑 CSP 条目
执行以下操作:
- 在 Administration 活动中心,转到内容安全政策。
- 找到要编辑的 CSP 条目,单击
,然后选择编辑。 - 根据需要更改 CSP 选项。
- 单击保存。
用户必须刷新浏览器,更改才能生效。
删除 CSP 条目
执行以下操作:
-
在 Administration 活动中心,转到内容安全政策。
-
选择要删除的 CSP 条目,然后单击删除。
- 确认删除。
查看和复制 CSP 标题
执行以下操作:
- 在 Administration 活动中心,转到内容安全政策。
- 单击查看标题。
- 在对话框中,单击复制到剪切板。
- 单击完成。