跳到主要內容

管理 Content Security Policy

SaaS 版本的 Qlik Sense 利用 Content Security Policy (CSP) 層級 2,這額外提供一層安全性,有助於偵測和減輕特定類型的攻擊,包括跨網站指令碼 (XSS) 和資料插入式攻擊。這些攻擊用於從資料竊取到網站置換、再到惡意軟體散佈等一切事件。

Qlik Sense Enterprise 中,CSP 允許租用戶管理員控制資源,並允許為指定頁面載入延伸或佈景主題。除了少數例外,政策大部分會涉及指定伺服器來源和指令碼端點。若延伸或佈景主題包含外部資源的資源要求,必須在 Content Security Policy 中將其來源列入允許清單。

若要在 Management Console 管理內容安全性政策,請前往 Content Security Policy 頁面。

如需更多資訊,請參閱 MDN 網頁文件:內容安全性政策 (CSP)

Content Security Policy 概述

Management ConsoleContent Security Policy 頁面中,會顯示以下描述的屬性。

管理主控台屬性
屬性 描述

Name

內容安全性政策項目的名稱。

原始

要加入允許清單的網域來源。

Directive (指示詞)

適用來源的指示詞。

上次更新時間

在上次更新項目時。

建立日期

在建立項目時。

Directive (指示詞)

指示詞控制載入特定資源類型的來源位置。以下描述的指示詞在 Qlik Sense Enterprise 受到支援。

Qlik Sense Enterprise 中的指示詞
Directive (指示詞) 描述

child-src

定義使用 <frame><iframe> 等元素載入的網頁背景工作和巢狀瀏覽內容的有效來源。

若您想要規範巢狀瀏覽內容和背景工作,請分別使用 frame-srcworker-src 指示詞。

form-action

限制可從指定內容作為表單提交目標使用的 URL。

media-src

使用 <audio><video><track> 元素指定用於載入媒體的有效來源。

style-src

指定樣式表的有效來源。

connect-src

限制可使用指令碼介面載入的 URL。

frame-src

指定使用 <frame><iframe> 等元素載入的巢狀瀏覽內容的有效來源。
frame-ancestors 使用 <frame><iframe><object><embed><applet> 指定內嵌資源的有效來源。

object-src

指定 <object><embed><applet> 元素的有效來源。

object-src 控制的元素或許會恰巧被視為舊版 HTML 元素,且不會接收新的標準化功能 (例如安全性屬性沙箱或允許用於 <iframe>)。因此建議限制此擷取指示詞 (例如在可行情況下明確設定 object-src 'none')。

worker-src

指定 WorkerSharedWorkerServiceWorker 指令碼的有效來源。

font-src

指定使用 @font-face 載入之字型的有效來源。

image-src

指定影像和 favicon 的有效來源。

script-src

指定 JavaScript 的有效來源。

Content Security Policy 輸入項目和標頭長度考量

每個租用戶的 Content Security Policy 項目數量上限為 256。若您收到超過 Content Security Policy 項目允許數量的錯誤訊息,可以移除冗餘的 Content Security Policy 項目,然後新增 Content Security Policy 項目。

Content Security Policy 標頭的長度上限為 3,072 個字元。若您在新增 Content Security Policy 項目時收到超過 Content Security Policy 標頭長度的錯誤訊息,可以移除冗餘的 Content Security Policy 項目,然後新增 Content Security Policy 項目。

CSP 標頭預設值中允許的字元數量上限和每個租用戶預設值允許的 CSP 項目數量上限是內建性質,無法在 Qlik Sense Enterprise SaaS 中變更。

建立 Content Security Policy 輸入項目

備註: 每個租用戶最多允許 256 Content Security Policy 個項目。

請執行下列動作:

  1. Management Console 中,前往 Content Security Policy 區段並按一下右上角的新增
  2. 在對話方塊中,為 Content Security Policy 命名。

  3. 以下列格式輸入來源位址:domain.com

    Qlik Sense 強制 HTTPS。

  4. 選取適用來源的指示詞。

    備註: 您可以新增數個指示詞。
  5. 按一下新增
備註: 在建立或編輯 Content Security Policy 時使用用戶端的使用者需要重新整理瀏覽器,以讓變更生效。

編輯 Content Security Policy 輸入項目

請執行下列動作:

  1. Management Console 中,前往 Content Security Policy 區段並選取您要編輯的 CSP 項目,然後按一下編輯
  2. 在對話方塊中,按需求變更 CSP 項目選項。
  3. 按一下儲存
備註: 在建立或編輯 Content Security Policy 時使用用戶端的使用者需要重新整理瀏覽器,以讓變更生效。

刪除 Content Security Policy 輸入項目

請執行下列動作:

  1. Management Console 中,前往 Content Security Policy 區段並選取您要移除的 CSP 項目,然後按一下刪除

    備註: 您可以一次移除數個項目。
  2. 確認您想要刪除該 CSP 項目。

複製 Content Security Policy 標頭

備註: Content Security Policy 標頭中最多允許 3,072 個字元。

請執行下列動作:

  1. Management Console 中,前往 Content Security Policy 區段並按一下檢視標頭
  2. 在對話方塊中,按一下複製到剪貼簿
  3. 按一下完成