Early Access: The content on this website is provided for informational purposes only in connection with pre-General Availability Qlik Products.
All content is subject to change and is provided without warranty.
Gå till huvudinnehåll Gå till ytterligare innehåll
Qlik-resurser
Laddar sökning med SearchUnify Om du behöver hjälp med din produkt, kontakta Qlik Support.
Qlik kundportal
Laddar sökning med SearchUnify Om du behöver hjälp med din produkt, kontakta Qlik Support.
Qlik kundportal

Hantera säkerhetspolicy för innehåll (Content Security Policy CSP)

Kontrollera och hantera din säkerhetspolicy för innehåll (CSP) i Qlik Cloud för att förbättra skyddet mot attacker som skriptkörning över flera webbplatser (XSS) och datainfogning.

Qlik Cloud använder säkerhetspolicy för innehåll (CSP) nivå 2, vilket innebär ett extra säkerhetsskikt som hjälper till att upptäcka och reducera effekten av vissa angreppstyper, bland annat XSS och datainfogning. Dessa attacker kan leda till datastöld, förstörda webbplatser och distribution av skadeprogram.

CSP innebär att administratörer för klientorganisationer kan styra vilka resurser ett komplement eller tema får ladda på en viss sida. Policyer används med få undantag främst för att specificera ursprung för servrar och slutpunkter för skript. Om ett komplement eller tema innehåller resursförfrågningar till externa resurser måste dessa ursprung läggas till i godkända-listan i CSP.

Se MDN Web Docs: policy för innehållssäkerhet (CSP) för mer information.

Direktiv

Direktiven styr vilka platser vissa resurstyper kan laddas från. Följande direktiv stöds:

Direktiv
Directive (direktiv) Beskrivning

child-src

Definierar giltiga källor för web workers och nästlade bläddringskontexter som laddas med element som <frame> och <iframe>.

Använd frame-src och worker-src för mer specifik kontroll.

form-action

Begränsar vilka URL:er som kan användas som mål för ett formulär som skickas från en viss kontext.

media-src

Specificerar giltiga källor för laddning av media med elementen <audio>, <video> och <track>.

style-src

Specificerar giltiga källor för formatmallar.

connect-src

Begränsar vilka URL:er som kan laddas med skriptgränssnitt.

frame-src

Specificerar giltiga källor för användning av nästlade bläddringskontexter med element som <frame> och <iframe>.
frame-ancestors Specificerar giltiga källor för inbäddning av resursen med <frame>, <iframe>, <object>, <embed> och <applet>.

object-src

Specificerar giltiga källor för elementen <object>, <embed> och <applet>.

Element som styrs av object-src anses vara äldre HTML-element och får inga nya standardiserade funktioner (som säkerhetsattributen sandbox eller allow för <iframe>). Det rekommenderas att detta hämtnings-direktiv begränsas, till exempel genom att ställa in object-src 'none' om möjligt.

worker-src

Specificerar giltiga källor för Worker-, SharedWorker- eller ServiceWorker-skript.

font-src

Specificerar giltiga källor för teckensnitt som laddas med @font-face.

image-src

Specificerar giltiga källor för bilder och favoritikoner.

script-src

Specificerar giltiga källor för JavaScript.

Qlik Cloud standard-CSP

Qlik Cloud har en standard-CSP med säkerhetslistade domäner. Du kan till exempel använda bilder från följande domäner utan att lägga till dem i din CSP:

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *.

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

För en fullständig lista över standarddomäner, se Frilistning av domännamn och IP-adresser.

Begränsningar för CSP-poster och rubriker

Värdena för max antal CSP-poster per klientorganisation och max antal tecken i CSP-rubriken är inbyggda och kan inte ändras.

  • Max antal poster: Upp till 256 CSP-poster per klientorganisation. Om du överskrider detta, ta bort överflödiga poster innan du lägger till nya.

  • Längd på rubriken: CSP-rubriken kan vara upp till 6 144 tecken lång. Om du överskrider denna gräns, ta bort överflödiga poster innan du lägger till nya.

Skapa en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Klicka på Lägg till.

  3. Ange ett namn.

  4. Skriv ursprungets adress i något av följande format:

    • domain.com

    • *.domain.com

    Anteckning om informationQlik Sense använder HTTPS.

  5. Välj tillämpliga direktiv.

  6. Klicka på Lägg till.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Redigera en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Hitta CSP-posten som du vill redigera Mer och välj Redigera.
  3. Ändra CSP-alternativen efter behov.
  4. Klicka på Spara.

Användare måste uppdatera sin webbläsare för att ändringarna ska aktiveras.

Ta bort en CSP-post

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.

  2. Välj de CSP-poster som du vill ta bort och klicka på Ta bort.

  3. Bekräfta borttagningen.

Visa och kopiera CSP-rubriken

Gör följande:

  1. Gå till Säkerhetspolicy för innehåll i aktivitetscentret för Administration.
  2. Klicka på Visa rubrik.
  3. Klicka på Kopiera till Urklipp i dialogen.
  4. Klicka på Klart.

Var den här sidan till hjälp för dig?

Om du stöter på några problem med den här sidan eller innehållet på den, t.ex. ett stavfel, ett saknat steg eller ett tekniskt fel – meddela oss!

Lämna din feedback här