管理 Content Security Policy

控制並管理 Qlik Cloud 中的內容安全性政策 (CSP)，以提升對於跨網站指令碼 (XSS) 和資料插入等攻擊的防護。

Qlik Cloud 使用 Content Security Policy (CSP) Level 2，這額外提供一層安全性，有助於偵測和減輕特定類型的攻擊，包括 XSS 和資料插入。這些攻擊可能導致資料失竊、網站篡改和惡意軟體散佈。

CSP 允許租用戶管理員控制資源，並且可以為指定頁面載入延伸或佈景主題。政策通常會涉及指定伺服器來源和指令碼端點。若延伸或佈景主題包含外部資源的資源要求，必須在 CSP 中將這些來源新增至允許清單。

如需更多資訊，請參閱 MDN Web 文件，內容安全性政策 (CSP)。

Directive (指示詞)

指示詞控制載入特定資源類型的來源位置。支援以下指示詞：

Qlik Cloud 預設 CSP

Qlik Cloud 具有預設 CSP，包括列為安全的網域。例如，您可以使用來自下列網域的影像，而不需要新增至您的 CSP：

• maps.qlikcloud.com

• ibasemaps-api.arcgis.com

• cdn.pendo.io

• app.pendo.io

• pendo-static-5763789454311424.storage.googleapis.com

• data.pendo.io

• *.gravatar.com *.wp.com *.

• googleusercontent.com

• cdn.qlik-stage.com

• cdn.qlikcloud.com

如需預設網域的完整清單，請參閱 將網域名稱和 IP 位址列為允許清單。

CSP 項目和標頭限制

CSP 標頭中每個租用戶的 CSP 項目數量上限和字元數量上限的值是內建性質，無法變更。

• 項目上限：每個租用戶最多 256 個 CSP 項目。如果超過此值，請在新增項目之前移除冗餘項目。

• 標頭長度：CSP 標頭最長可達 6,144 個字元。如果超過此限制，請在新增項目之前移除冗餘項目。

建立 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心，前往 Content Security Policy。
2. 按一下新增。

3. 提供名稱。

4. 以下列格式之一輸入來源：

   • domain.com

   • *.domain.com

   資訊備註Qlik Sense 強制 HTTPS。

5. 選取適用的指示詞。

6. 按一下新增。

使用者必須重新整理瀏覽器才能讓變更生效。

編輯 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心，前往 Content Security Policy。
2. 尋找您要編輯的 CSP 項目，按一下 ，並選取編輯。
3. 根據需要變更 CSP 選項。
4. 按一下儲存。

使用者必須重新整理瀏覽器才能讓變更生效。

刪除 CSP 輸入項目

請執行下列動作：

1. 在 管理 活動中心，前往 Content Security Policy。

2. 選取您要移除的 CSP 項目並按一下刪除。

3. 確認刪除。

檢視和複製 CSP 標頭

請執行下列動作：

1. 在 管理 活動中心，前往 Content Security Policy。
2. 按一下檢視標頭。
3. 在對話方塊中，按一下複製到剪貼簿。
4. 按一下完成。