管理 Content Security Policy
Qlik Cloud 使用 Content Security Policy (CSP) Level 2,這額外提供一層安全性,有助於偵測和減輕特定類型的攻擊,包括跨網站指令碼 (XSS) 和資料插入式攻擊。這些攻擊用於從資料竊取到網站置換、再到惡意軟體散佈等一切事件。
在 Qlik Cloud 中,CSP 允許租用戶管理員控制資源,並允許為指定頁面載入延伸或佈景主題。除了少數例外,政策大部分會涉及指定伺服器來源和指令碼端點。若延伸或佈景主題包含外部資源的資源要求,必須在 Content Security Policy 中將其來源新增至允許清單。
若要在 管理主控台 管理內容安全性政策,請前往 Content Security Policy 頁面。
如需更多資訊,請參閱 MDN 網頁文件:內容安全性政策 (CSP)。
Content Security Policy 概述
在 管理主控台 的 Content Security Policy 頁面中,會顯示以下描述的屬性。
| 屬性 | 描述 |
|---|---|
|
Name |
內容安全性政策項目的名稱。 |
|
原始 |
要新增至允許清單的網域來源。 |
|
Directive (指示詞) |
適用來源的指示詞。 |
|
上次更新時間 |
在上次更新項目時。 |
|
建立日期 |
在建立項目時。 |
Directive (指示詞)
指示詞控制載入特定資源類型的來源位置。以下描述的指示詞在 Qlik Sense Enterprise 受到支援。
| Directive (指示詞) | 描述 |
|---|---|
|
child-src |
定義使用 <frame> 和 <iframe> 等元素載入的網頁背景工作和巢狀瀏覽內容的有效來源。 若您想要規範巢狀瀏覽內容和背景工作,請分別使用 frame-src 和 worker-src 指示詞。 |
|
form-action |
限制可從指定內容作為表單提交目標使用的 URL。 |
|
media-src |
使用 <audio>、<video> 和 <track> 元素指定用於載入媒體的有效來源。 |
|
style-src |
指定樣式表的有效來源。 |
|
connect-src |
限制可使用指令碼介面載入的 URL。 |
|
frame-src |
指定使用 <frame> 和 <iframe> 等元素載入的巢狀瀏覽內容的有效來源。 |
| frame-ancestors | 使用 <frame>、<iframe>、<object>、<embed> 和 <applet> 指定內嵌資源的有效來源。 |
|
object-src |
指定 <object>、<embed> 和 <applet> 元素的有效來源。 由 object-src 控制的元素或許會恰巧被視為舊版 HTML 元素,且不會接收新的標準化功能 (例如安全性屬性沙箱或允許用於 <iframe>)。因此建議限制此擷取指示詞 (例如在可行情況下明確設定 object-src 'none')。 |
|
worker-src |
指定 Worker、SharedWorker 或 ServiceWorker 指令碼的有效來源。 |
|
font-src |
指定使用 @font-face 載入之字型的有效來源。 |
|
image-src |
指定影像和 favicon 的有效來源。 |
|
script-src |
指定 JavaScript 的有效來源。 |
Qlik Cloud 預設內容安全性政策
Qlik Cloud 對所有使用者具有預設 CSP,這包括列為安全的網域。例如,您可以使用來自下列網域的影像,而不需要新增至自己的內容安全性政策。取自其他來源的影像必須將其網域新增至內容安全性政策。
Qlik Cloud 中影像和最愛圖示的預設來源:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
如需可用於所有 Qlik Cloud 使用者的其他預設網域的清單,請參閱 將網域名稱和 IP 位址列為允許清單。
Content Security Policy 輸入項目和標頭長度考量
每個租用戶的 Content Security Policy 項目數量上限為 256。若您收到超過 Content Security Policy 項目允許數量的錯誤訊息,可以移除冗餘的 Content Security Policy 項目,然後新增 Content Security Policy 項目。
Content Security Policy 標頭的長度上限為 3,072 個字元。若您在新增 Content Security Policy 項目時收到超過 Content Security Policy 標頭長度的錯誤訊息,可以移除冗餘的 Content Security Policy 項目,然後新增 Content Security Policy 項目。
CSP 標頭預設值中允許的字元數量上限和每個租用戶預設值允許的 CSP 項目數量上限是內建性質,無法在 Qlik Cloud 中變更。
建立 Content Security Policy 輸入項目
請執行下列動作:
- 在 管理主控台 中,前往 Content Security Policy 區段並按一下右上角的新增。
-
在對話方塊中,為 Content Security Policy 命名。
-
以下列格式之一輸入來源位址:
-
domain.com
-
*.domain.com
Qlik Sense 強制 HTTPS。
-
-
選取適用來源的指示詞。
資訊備註您可以新增數個指示詞。 - 按一下新增。
編輯 Content Security Policy 輸入項目
請執行下列動作:
- 在 管理主控台 中,前往 Content Security Policy 區段。
- 尋找您要編輯的 CSP 項目,按一下
,並選取編輯。 - 在對話方塊中,按需要變更 CSP 項目選項。
- 按一下儲存。
刪除 Content Security Policy 輸入項目
請執行下列動作:
-
在 管理主控台 中,前往 Content Security Policy 區段並選取您要移除的 CSP 項目,然後按一下刪除。
資訊備註您可以一次移除數個項目。 - 確認您想要刪除該 CSP 項目。
複製 Content Security Policy 標頭
請執行下列動作:
- 在 管理主控台 中,前往 Content Security Policy 區段並按一下檢視標頭。
- 在對話方塊中,按一下複製到剪貼簿。
- 按一下完成。