Administrar la política de seguridad de contenidos (Content Security Policy, CSP)
Controle y administre su política de seguridad de contenidos (CSP) en Qlik Cloud para mejorar la protección contra ataques como el Cross Site Scripting (XSS) y la inyección de datos.
Qlik Cloud utiliza la Política de seguridad de contenidos (CSP) de nivel 2, que proporciona una capa de seguridad extra que ayuda a detectar y mitigar ciertos tipos de ataques, incluyendo XSS e inyección de datos. Estos ataques pueden provocar el robo de datos, la desfiguración de sitios web y la distribución de malware.
CSP permite a los administradores de un espacio empresarial inquilino controlar los recursos que una extensión o una plantilla de estilo pueden cargar en una página determinada. Las políticas suelen englobar la especificación de los orígenes del servidor y los puntos de conexión de los scripts. Si una extensión o plantilla de estilo contiene peticiones a recursos externos, estos orígenes deben añadirse a la lista de elementos permitidos en la página CSP.
Para más información, consulte MDN Web Docs: Content Security Policy (CSP).
Directivas
Las directivas controlan las ubicaciones desde las que se pueden cargar determinados tipos de recursos. Se admiten las siguientes directivas:
| Directiva | Descripción |
|---|---|
|
child-src |
Define fuentes validas para trabajadores web y contextos de navegación anidados cargados usando elementos como <frame> y <iframe>. Utilice frame-src y worker-src para un control más específico. |
|
form-action |
Restringe las URL que pueden utilizarse como objetivo de envíos desde un contexto determinado. |
|
media-src |
Especifica fuentes válidas para cargar archivos multimedia utilizando los elementos <audio>, <video> y <track>. |
|
style-src |
Especifica fuentes válidas para las hojas de estilo. |
|
connect-src |
Restringe las URL que se pueden cargar usando interfaces de script. |
|
frame-src |
Especifica fuentes válidas para contextos de exploración anidados utilizando elementos como <frame> y <iframe>. |
| frame-ancestors | Especifica fuentes válidas para incrustar el recurso utilizando <frame>, <iframe>, <object>, <embed> y <applet>. |
|
object-src |
Especifica fuentes válidas para los elementos <object>, <embed> y <applet>. Los elementos controlados por object-src se consideran elementos HTML heredados y no reciben nuevas funciones normalizadas, como los atributos de seguridad sandbox o allow para <iframe>. Se recomienda restringir esta directiva de obtención, por ejemplo, configurando explícitamente object-src 'none' si es posible. |
|
worker-src |
Especifica fuentes válidas para scripts de Worker, SharedWorker o ServiceWorker. |
|
font-src |
Especifica fuentes válidas para fuentes cargadas mediante @font-face. |
|
image-src |
Especifica fuentes válidas para imágenes e iconos de favoritos. |
|
script-src |
Especifica fuentes válidas para JavaScript. |
CSP predeterminada de Qlik Cloud
Qlik Cloud incorpora por defecto una política de seguridad de contenidos CSP que incluye los dominios incluidos en la lista segura. Por ejemplo, puede utilizar imágenes de los siguientes dominios sin añadirlas a su CSP:
-
maps.qlikcloud.com
-
ibasemaps-api.arcgis.com
-
cdn.pendo.io
-
app.pendo.io
-
pendo-static-5763789454311424.storage.googleapis.com
-
data.pendo.io
-
*.gravatar.com *.wp.com *.
-
googleusercontent.com
-
cdn.qlik-stage.com
-
cdn.qlikcloud.com
Para obtener una lista completa de dominios predeterminados, consulte la página Lista blanca de nombres de dominio y direcciones IP.
Entradas en la política de seguridad de contenidos CSP y límites de cabecera
Los valores para el número máximo de entradas CSP por espacio empresarial inquilino y el número máximo de caracteres en la cabecera CSP están incorporados y no pueden modificarse.
-
Máximo de entradas: hasta 256 entradas en CSP por espacio empresarial inquilino. Si lo supera, elimine las entradas sobrantes antes de añadir otras nuevas.
-
Longitud de la cabecera: la cabecera CSP puede tener una longitud máxima de 6.144 caracteres. Si supera este límite, elimine las entradas sobrantes antes de añadir otras nuevas.
Crear una entrada en la política de seguridad de contenidos, CSP
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Política de seguridad de contenidos.
- Haga clic en Añadir.
-
Indique un nombre.
-
Escriba el origen en uno de los siguientes formatos:
-
domain.com
-
*.domain.com
Nota informativaQlik Sense aplica HTTPS. -
-
Seleccione las directivas aplicables.
- Haga clic en Añadir.
Los usuarios deben actualizar su navegador para que los cambios surtan efecto.
Editar una entrada de la página CSP
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Política de seguridad de contenidos (Content Security Policy, CSP).
- Busque la entrada de CSP que desee editar, haga clic en
y seleccione Editar. - Cambie las opciones de CSP según sea necesario.
- Haga clic en Guardar.
Los usuarios deben actualizar su navegador para que los cambios surtan efecto.
Eliminar una entrada de la página CSP
Haga lo siguiente:
-
En el centro de actividades Administración, vaya a Política de seguridad de contenidos (Content Security Policy, CSP).
-
Seleccione las entradas de CSP que desee eliminar y haga clic en Eliminar.
- Confirme la eliminación.
Visualizar y copiar la cabecera de CSP
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Política de seguridad de contenidos.
- Haga clic en Ver cabecera.
- En el cuadro de diálogo, haga clic en Copiar en el portapapeles.
- Haga clic en Hecho.