跳到主要内容 跳到补充内容

管理 Content Security Policy (CSP)

Qlik Cloud 中控制和管理您的内容安全策略 (CSP),以增强对跨站点脚本 (XSS) 和数据注入等攻击的防护。

Qlik Cloud 使用 Content Security Policy (CSP) 级别 2,其提供了额外的安全层,有助于检测和减轻某些类型的攻击,包括 XSS 和数据注入攻击。这些攻击会导致数据被盗、网站被篡改和恶意软件的分发。

CSP 允许租户管理员控制扩展或主题可以为给定页面加载的资源。策略主要涉及指定服务器来源和脚本端点。如果扩展或主题包含对外部资源的资源请求,则必须将这些来源添加到 CSP 中的允许列表中。

有关更多信息,请参阅 MDN Web 文档:内容安全政策 (CSP)

指令

指令控制可从中加载特定资源类型的位置。支持以下指令:

指令
指令 描述

child-src

定义 Web 工作线程和使用元素(诸如 <frame><iframe>)加载的嵌套浏览上下文的有效源。

使用 frame-srcworker-src 可实现更具体的控制。

form-action

限制可以用作来自给定上下文的提交目标的 URL。

media-src

使用 <audio><video><track> 元素指定用于加载媒体的有效源。

style-src

指定样式工作表的有效源。

connect-src

限制可使用脚本接口加载的 URL。

frame-src

使用元素(诸如 <frame><iframe>),为嵌套的浏览上下文指定有效的源。
frame-ancestors 使用 <frame><iframe><object><embed><applet> 指定用于嵌入资源的有效源。

object-src

指定 <object><embed><applet> 元素的有效源。

object-src 控制的元素被视为传统 HTML 元素,并且没有获得新的标准化功能(诸如 <iframe> 的安全属性 sandboxallow)。建议限制该获取指令,例如在可行时,显式地设置 object-src 'none'

worker-src

WorkerSharedWorkerServiceWorker 脚本指定有效的源。

font-src

为使用 @font-face 加载的字体指定有效源。

image-src

指定图像和偏爱图标的有效源。

script-src

为 JavaScript 指定有效的源。

Qlik Cloud 默认 CSP

Qlik Cloud 具有默认 CSP,其中包括被视为安全的域。例如,您可以使用来自以下域的图像,而无需将它们添加到您的 CSP。

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *。

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

有关默认域的完整列表,请参阅允许列出域名和 IP 地址

CSP 条目和标题限制

每个租户的最大 CSP 条目数值和 CSP 标题中的最大字符数值是内置的,不能更改。

  • 最大条目数:每个租户最多可有 256 个 CSP 条目。如果超过这个范围,请先删除多余的条目,然后再增加新条目。

  • 标题长度:CSP 标题长度最长可为 6,144 个字符。如果超过这个限值,请先删除多余的条目,然后再增加新条目。

创建 CSP 条目

执行以下操作:

  1. Administration 活动中心内,前往Content Security Policy
  2. 单击添加
  3. 提供名称。

  4. 用以下格式之一键入源:

    • domain.com

    • *.domain.com

    信息注释Qlik Sense 执行 HTTPS。
  5. 选择适用的指令。

  6. 单击添加

用户必须刷新浏览器,更改才能生效。

编辑 CSP 条目

执行以下操作:

  1. Administration 活动中心内,前往Content Security Policy
  2. 找到要编辑的 CSP 条目,单击 更多,然后选择编辑
  3. 根据需要更改 CSP 选项。
  4. 单击保存

用户必须刷新浏览器,更改才能生效。

删除 CSP 条目

执行以下操作:

  1. Administration 活动中心内,前往Content Security Policy

  2. 选择要删除的 CSP 条目,然后单击删除

  3. 确认删除。

查看和复制 CSP 标题

执行以下操作:

  1. Administration 活动中心内,前往Content Security Policy
  2. 单击查看标题
  3. 在对话框中,单击复制到剪切板
  4. 单击完成

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进!