管理內容安全性政策 (Content Security Policy) (CSP)

控制並管理 Qlik Cloud 中的內容安全性政策 (CSP)，以減少安全性威脅風險，例如跨網站指令碼 (XSS) 和資料插入攻擊。

Qlik Cloud 使用內容安全性政策 (CSP) 層級 2。CSP 透過限制應用程式、延伸和佈景主題可載入的外部資源，提供額外一層的安全性。透過限制允許的來源和資源類型，CSP 有助於防止惡意程式碼執行、資料竊取、網站破壞和惡意軟體散佈。

具備所需權限的管理員可以使用 CSP 來控制延伸和佈景主題可載入哪些外部資源。若延伸或佈景主題請求來自外部來源的資源，必須在 CSP 允許清單中明確新增這些來源。

如需更多關於 CSP 的資訊，請參閱 MDN Web 文件，內容安全性政策 (CSP)。

必要權限

若要管理內容安全性政策項目，您必須具備下列其中一項：

• 租用戶管理員角色

• 包含管理員 CSP 權限的自訂角色

Directive (指示詞)

指令定義特定資源類型允許的來源。支援以下指示詞：

Qlik Cloud 預設 CSP

Qlik Cloud 包含預設內容安全性政策，其中包含一組允許清單網域。來自這些網域的資源可直接使用，無需新增 CSP 項目。

範例包括：

• *.qlikcloud.com – 核心 Qlik Cloud 服務與 API

• cdn.pendo.io – 通知內容

• gravatar.com – 使用者設定檔圖示

請參閱 將網域和 IP 位址列入允許清單 查看完整清單。

CSP 項目和標頭限制

下列限制為內建，無法變更。如果您達到任一限制，請移除多餘或未使用的 CSP 項目。

• CSP 項目數上限：每個租用戶 256 個項目

• CSP 標頭長度上限：6,144 個字元

建立 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心內，前往內容安全性政策 (Content Security Policy)。
2. 按一下新增。

3. 提供名稱。

4. 以下列格式之一輸入來源：

   • domain.com

   • *.domain.com

   資訊備註Qlik Sense 對 CSP 項目強制執行 HTTPS。

5. 選取適用的指示詞。

6. 按一下新增。

使用者必須重新整理瀏覽器才能讓變更生效。

編輯 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心內，前往內容安全性政策。
2. 尋找您要編輯的 CSP 項目，按一下 ，並選取編輯。
3. 根據需要變更 CSP 選項。
4. 按一下儲存。

使用者必須重新整理瀏覽器才能讓變更生效。

刪除 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心內，前往內容安全性政策。

2. 選取您要移除的 CSP 項目並按一下刪除。

3. 確認刪除。

檢視和複製 CSP 標頭

請執行下列動作：

1. 在 管理 活動中心內，前往內容安全性政策 (Content Security Policy)。
2. 按一下檢視標頭。
3. 在對話方塊中，按一下複製到剪貼簿。
4. 按一下完成。