Przeskocz do zawartości głównej Przejdź do treści uzupełniającej
Zasoby Qlik

Zarządzanie Content Security Policy

Produkt Qlik Cloud wykorzystuje funkcję Content Security Policy (CSP) poziomu 2, która zapewnia dodatkowe zabezpieczenia umożliwiające wykrywanie i łagodzenie niektórych rodzajów ataków, w tym ataków typu Cross Site Scripting (XSS) i wstrzykiwanie danych. Ataki te są wykorzystywane do różnych celów: od kradzieży danych przez niszczenie witryn po dystrybucję złośliwego oprogramowania.

Funkcja CSP w Qlik Cloud umożliwia administratorom dzierżawy kontrolowanie zasobów, które rozszerzenie lub kompozycja mogą ładować na potrzeby danej strony. Z kilkoma wyjątkami zasady te obejmują przede wszystkim określanie pochodzenia serwera i punktów końcowych skryptu. Pochodzenie rozszerzeń lub kompozycji zawierających łącza do zasobów zewnętrznych musi znajdować się na liście dozwolonych funkcji Content Security Policy.

Aby zarządzać zasadami bezpieczeństwa zawartości w funkcji Konsola zarządzania, przejdź do strony Content Security Policy.

Więcej informacji, patrz MDN Web Docs: Zasady zabezpieczeń zawartości(CSP).

Przegląd funkcji programu Content Security Policy

Na stronie Content Security Policy funkcji Konsola zarządzania wyświetlane są poniższe właściwości.

Właściwości Konsoli zarządzania
Właściwość Opis

Nazwa

Nazwa wpisu zasad zabezpieczeń zawartości.

Pochodzenie

Pochodzenie domeny dodawane do listy dozwolonych.

Dyrektywa

Dyrektywa odnosząca się do pochodzenia.

Ostatnia aktualizacja

Data ostatniej aktualizacji wpisu.

Data utworzenia

Data utworzenia wpisu.

Dyrektywy

Dyrektywy kontrolują lokalizacje, z których mogą być ładowane określone typy zasobów. Dyrektywy opisane poniżej są obsługiwane w Qlik Sense Enterprise.

Dyrektywy w Qlik Sense Enterprise
Dyrektywa Opis

child-src

Definiuje prawidłowe źródła internetowych procesów roboczych oraz zagnieżdżone konteksty przeglądania ładowane przy użyciu elementów takich jak <frame> i <iframe>.

Jeśli chcesz regulować zagnieżdżone konteksty przeglądania i procesy robocze, użyj odpowiednio dyrektyw frame-src i worker-src.

form-action

Ogranicza adresy URL, których można używać jako celu przesyłania formularzy z danego kontekstu.

media-src

Określa prawidłowe źródła ładowania multimediów za pomocą elementów <audio>, <video> i <track>.

style-src

Określa prawidłowe źródła arkuszy stylów.

connect-src

Ogranicza adresy URL, które można ładować za pomocą interfejsów skryptowych.

frame-src

Określa prawidłowe źródła zagnieżdżonych kontekstów przeglądania ładowanych przy użyciu elementów takich jak <frame> i <iframe>.
frame-ancestors Określa prawidłowe źródła osadzania zasobu przy użyciu <frame>, <iframe>, <object>, <embed> i <applet>.

object-src

Określa prawidłowe źródła elementów <object>, <embed> i <applet>.

Elementy kontrolowane przez dyrektywę object-src są być może przypadkowo uznawane za starsze elementy HTML i nie otrzymują nowych standardowych funkcji (takich jak piaskownica atrybutów zabezpieczeń lub zezwalanie na <iframe>). W związku z tym zaleca się ograniczenie tej dyrektywy pobierania (na przykład w miarę możliwości ustaw jawnie object-src 'none').

worker-src

Określa prawidłowe źródła skryptów Worker, SharedWorker lub ServiceWorker.

font-src

Określa prawidłowe źródła czcionek ładowanych przy użyciu reguły @font-face.

image-src

Określa prawidłowe źródła obrazów i ikon favicon.

script-src

Określa prawidłowe źródła skryptów JavaScript.

Domyślna zasada zabezpieczeń zawartości Qlik Cloud

Qlik Cloud ma domyślne CSP dla wszystkich użytkowników, który obejmuje domeny z bezpiecznej listy. Na przykład możesz używać grafik z następujących domen bez konieczności dodawania ich do własnych zasad zabezpieczeń zawartości. Grafiki pobrane z innych źródeł muszą mieć dodane domeny do zasad zabezpieczeń zawartości.

Domyślne źródła grafik i ikon favicon w Qlik Cloud:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

Aby zapoznać się z listą innych domen domyślnych dostępnych dla wszystkich użytkowników Qlik Cloud, zobacz Dodawanie do listy dozwolonych nazw domen i adresów IP.

Uwagi dotyczące długości wpisów i nagłówka Content Security Policy

Maksymalna dopuszczalna liczba wpisów Content Security Policy na jedną dzierżawę wynosi 256. W przypadku otrzymania komunikatu o błędzie z powodu przekroczenia dozwolonej liczby wpisów Content Security Policy można usunąć niepotrzebne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.

Maksymalna długość nagłówka Content Security Policy to 3072 znaki. Jeśli podczas dodawania nowego wpisu Content Security Policy zostanie wyświetlony komunikat o błędzie dotyczącym przekroczenia długości nagłówka Content Security Policy, można usunąć zbędne wpisy Content Security Policy, a następnie dodać nowy wpis Content Security Policy.

Maksymalna liczba znaków dozwolona w wartości domyślnej nagłówka CSP oraz maksymalna liczba wpisów CSP dozwolona dla każdej wartości domyślnej dzierżawy są wbudowane i nie można ich zmienić w Qlik Cloud.

Tworzenie wpisu funkcji Content Security Policy

InformacjaNa jedną dzierżawę dozwolonych jest maksymalnie 256 wpisów Content Security Policy.

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij Dodaj w prawym górnym rogu.

  2. W oknie dialogowym podaj nazwę elementu Content Security Policy.

  3. Wpisz adres źródła w jednym z następujących formatów:

    • domain.com

    • *.domain.com

    Qlik Sense wymusza HTTPS.

  4. Wybierz dyrektywę dotyczącą pochodzenia.

    InformacjaMożesz dodać kilka dyrektyw.
  5. Kliknij Dodaj.
InformacjaUżytkownicy korzystający z klienta podczas tworzenia lub edytowania Content Security Policy muszą odświeżyć swoją przeglądarkę, aby zmiany zostały zastosowane.

Edytowanie wpisu funkcji Content Security Policy

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy.
  2. Znajdź pozycję CSP do edycji, kliknij Więcej i wybierz Edytuj.
  3. W oknie dialogowym zmień opcje wprowadzania CSP odpowiednio do potrzeb.
  4. Kliknij przycisk Zapisz.
InformacjaUżytkownicy korzystający z klienta podczas tworzenia lub edytowania Content Security Policy muszą odświeżyć swoją przeglądarkę, aby zmiany zostały zastosowane.

Usuwanie wpisu funkcji Content Security Policy

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i wybierz wpis funkcji CSP, który chcesz usunąć, a następnie kliknij przycisk Usuń.

    InformacjaJednocześnie możesz usunąć kilka elementów.
  2. Potwierdź, że chcesz usunąć wpis funkcji CSP.

Kopiowanie nagłówka funkcji Content Security Policy

InformacjaNagłówek Content Security Policy może mieć maksymalnie 6,144 znaki.

Wykonaj następujące czynności:

  1. W funkcji Konsola zarządzania przejdź do sekcji Content Security Policy i kliknij pozycję Wyświetl nagłówek.
  2. W oknie dialogowym kliknij pozycję Kopiuj do schowka.
  3. Kliknij przycisk Gotowe.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!

Przekaż tu opinię