管理 Content Security Policy
在 Qlik Cloud 中控制和管理您的内容安全策略 (CSP),以增强对跨站点脚本 (XSS) 和数据注入等攻击的防护。
Qlik Cloud 使用 Content Security Policy (CSP) 级别 2,其提供了额外的安全层,有助于检测和减轻某些类型的攻击,包括 XSS 和数据注入攻击。这些攻击会导致数据被盗、网站被篡改和恶意软件的分发。
CSP 允许租户管理员控制扩展或主题可以为给定页面加载的资源。策略主要涉及指定服务器来源和脚本端点。如果扩展或主题包含对外部资源的资源请求,则必须将这些来源添加到 CSP 中的允许列表中。
有关更多信息,请参阅 MDN Web 文档:内容安全政策 (CSP)。
指令
指令控制可从中加载特定资源类型的位置。支持以下指令:
指令 | 说明 |
---|---|
child-src |
定义 Web 工作线程和使用元素(诸如 <frame> 和 <iframe>)加载的嵌套浏览上下文的有效源。 使用 frame-src 和 worker-src 可实现更具体的控制。 |
form-action |
限制可以用作来自给定上下文的提交目标的 URL。 |
media-src |
使用 <audio>、<video> 和 <track> 元素指定用于加载媒体的有效源。 |
style-src |
指定样式工作表的有效源。 |
connect-src |
限制可使用脚本接口加载的 URL。 |
frame-src |
使用元素(诸如 <frame> 和 <iframe>),为嵌套的浏览上下文指定有效的源。 |
frame-ancestors | 使用 <frame>、<iframe>、<object>、<embed> 和 <applet> 指定用于嵌入资源的有效源。 |
object-src |
指定 <object>、<embed> 和 <applet> 元素的有效源。 由 object-src 控制的元素被视为传统 HTML 元素,并且没有获得新的标准化功能(诸如 <iframe> 的安全属性 sandbox 或 allow)。建议限制该获取指令,例如在可行时,显式地设置 object-src 'none'。 |
worker-src |
为 Worker、SharedWorker 或 ServiceWorker 脚本指定有效的源。 |
font-src |
为使用 @font-face 加载的字体指定有效源。 |
image-src |
指定图像和偏爱图标的有效源。 |
script-src |
为 JavaScript 指定有效的源。 |
Qlik Cloud 默认 CSP
Qlik Cloud 具有默认 CSP,其中包括被视为安全的域。例如,您可以使用来自以下域的图像,而无需将它们添加到您的 CSP。
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *。
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
有关默认域的完整列表,请参阅允许列出域名和 IP 地址 。
CSP 条目和标题限制
每个租户的最大 CSP 条目数值和 CSP 标题中的最大字符数值是内置的,不能更改。
-
最大条目数:每个租户最多可有 256 个 CSP 条目。如果超过这个范围,请先删除多余的条目,然后再增加新条目。
-
标题长度:CSP 标题长度最长可为 6,144 个字符。如果超过这个限值,请先删除多余的条目,然后再增加新条目。
创建 CSP 条目
执行以下操作:
- 在 Administration 活动中心内,前往Content Security Policy。
- 单击添加。
-
提供名称。
-
用以下格式之一键入源:
-
domain.com
-
*.domain.com
信息注释Qlik Sense 执行 HTTPS。 -
-
选择适用的指令。
- 单击添加。
用户必须刷新浏览器,更改才能生效。
编辑 CSP 条目
执行以下操作:
- 在 Administration 活动中心内,前往Content Security Policy。
- 找到要编辑的 CSP 条目,单击 ,然后选择编辑。
- 根据需要更改 CSP 选项。
- 单击保存。
用户必须刷新浏览器,更改才能生效。
删除 CSP 条目
执行以下操作:
-
在 Administration 活动中心内,前往Content Security Policy。
-
选择要删除的 CSP 条目,然后单击删除。
- 确认删除。
查看和复制 CSP 标题
执行以下操作:
- 在 Administration 活动中心内,前往Content Security Policy。
- 单击查看标题。
- 在对话框中,单击复制到剪切板。
- 单击完成。