Zarządzanie Content Security Policy
Produkt Qlik Cloud wykorzystuje funkcję Content Security Policy (CSP) poziomu 2, która zapewnia dodatkowe zabezpieczenia umożliwiające wykrywanie i łagodzenie niektórych rodzajów ataków, w tym ataków typu Cross Site Scripting (XSS) i wstrzykiwanie danych. Ataki te są wykorzystywane do różnych celów: od kradzieży danych przez niszczenie witryn po dystrybucję złośliwego oprogramowania.
Funkcja CSP w Qlik Cloud umożliwia administratorom dzierżawy kontrolowanie zasobów, które rozszerzenie lub kompozycja mogą ładować na potrzeby danej strony. Z kilkoma wyjątkami zasady te obejmują przede wszystkim określanie pochodzenia serwera i punktów końcowych skryptu. Pochodzenie rozszerzeń lub kompozycji zawierających łącza do zasobów zewnętrznych musi znajdować się na liście dozwolonych funkcji Content Security Policy.
Aby zarządzać zasadami bezpieczeństwa zawartości w funkcji Konsola zarządzania, przejdź do strony Content Security Policy.
Więcej informacji, patrz MDN Web Docs: Zasady zabezpieczeń zawartości(CSP).
Przegląd funkcji programu Content Security Policy
Na stronie Content Security Policy funkcji Konsola zarządzania wyświetlane są poniższe właściwości.
Właściwość | Opis |
---|---|
Nazwa |
Nazwa wpisu zasad zabezpieczeń zawartości. |
Pochodzenie |
Pochodzenie domeny dodawane do listy dozwolonych. |
Dyrektywa |
Dyrektywa odnosząca się do pochodzenia. |
Ostatnia aktualizacja |
Data ostatniej aktualizacji wpisu. |
Data utworzenia |
Data utworzenia wpisu. |
Dyrektywy
Dyrektywy kontrolują lokalizacje, z których mogą być ładowane określone typy zasobów. Dyrektywy opisane poniżej są obsługiwane w Qlik Sense Enterprise.
Dyrektywa | Opis |
---|---|
child-src |
Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>. Jeśli chcesz regulować zagnieżdżone konteksty przeglądania i procesy robocze, użyj odpowiednio dyrektyw frame-src i worker-src. |
form-action |
Ogranicza adresy URL, których można używać jako celu przesyłania formularzy z danego kontekstu. |
media-src |
Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>. |
style-src |
Określa prawidłowe źródła arkuszy stylów. |
connect-src |
Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych. |
frame-src |
Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>. |
frame-ancestors | Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet>. |
object-src |
Określa prawidłowe źródła elementów <object>, <embed> i <applet>. Elementy kontrolowane przez dyrektywę object-src są być może przypadkowo uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji (takich jak piaskownica atrybutów zabezpieczeń lub zezwalanie na <iframe>). W związku z tym zaleca się ograniczenie tej dyrektywy pobierania (na przykład w miarę możliwości ustaw jawnie object-src 'none'). |
worker-src |
Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker. |
font-src |
Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face. |
image-src |
Określa prawidłowe źródła obrazów i ikon favicon. |
script-src |
Określa prawidłowe źródła skryptów JavaScript. |
Domyślna zasada zabezpieczeń zawartości Qlik Cloud
Qlik Cloud ma domyślne CSP dla wszystkich użytkowników, który obejmuje domeny z bezpiecznej listy. Na przykład możesz używać grafik z następujących domen bez konieczności dodawania ich do własnych zasad zabezpieczeń zawartości. Grafiki pobrane z innych źródeł muszą mieć dodane domeny do zasad zabezpieczeń zawartości.
Domyślne źródła grafik i ikon favicon w Qlik Cloud:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Aby zapoznać się z listą innych domen domyślnych dostępnych dla wszystkich użytkowników Qlik Cloud, zobacz Dodawanie do listy dozwolonych nazw domen i adresów IP.
Uwagi dotyczące długości wpisów i nagłówka Content Security Policy
Maksymalna dopuszczalna liczba wpisów Content Security Policy na jedną dzierżawę wynosi 256. W przypadku otrzymania komunikatu o błędzie z powodu przekroczenia dozwolonej liczby wpisów Content Security Policy można usunąć niepotrzebne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.
Maksymalna długość nagłówka Content Security Policy to 3072 znaki. Jeśli podczas dodawania nowego wpisu Content Security Policy zostanie wyświetlony komunikat o błędzie dotyczącym przekroczenia długości nagłówka Content Security Policy, można usunąć zbędne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.
Maksymalna liczba znaków dozwolona w wartości domyślnej nagłówka CSP oraz maksymalna liczba wpisów CSP dozwolona dla każdej wartości domyślnej dzierżawy są wbudowane i nie można ich zmienić w Qlik Cloud.
Tworzenie wpisu funkcji Content Security Policy
Wykonaj następujące czynności:
- W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij Dodaj w prawym górnym rogu.
-
W oknie dialogowym podaj nazwę elementu Content Security Policy.
-
Wpisz adres źródła w jednym z następujących formatów:
-
domain.com
-
*.domain.com
Qlik Sense wymusza HTTPS.
-
-
Wybierz dyrektywę dotyczącą pochodzenia.
InformacjaMożesz dodać kilka dyrektyw. - Kliknij Dodaj.
Edytowanie wpisu funkcji Content Security Policy
Wykonaj następujące czynności:
- W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy.
- Znajdź pozycję CSP do edycji, kliknij i wybierz Edytuj.
- W oknie dialogowym zmień opcje wprowadzania CSP odpowiednio do potrzeb.
- Kliknij przycisk Zapisz.
Usuwanie wpisu funkcji Content Security Policy
Wykonaj następujące czynności:
-
W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i wybierz wpis funkcji CSP, który chcesz usunąć, a następnie kliknij przycisk Usuń.
InformacjaJednocześnie możesz usunąć kilka elementów. - Potwierdź, że chcesz usunąć wpis funkcji CSP.
Kopiowanie nagłówka funkcji Content Security Policy
Wykonaj następujące czynności:
- W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij pozycję Wyświetl nagłówek.
- W oknie dialogowym kliknij pozycję Kopiuj do schowka.
- Kliknij przycisk Gotowe.