Early Access: The content on this website is provided for informational purposes only in connection with pre-General Availability Qlik Products.
All content is subject to change and is provided without warranty.
跳到主要内容 跳到补充内容
Qlik 资源
正在加载 SearchUnify 的搜索 如果您需要有关产品的帮助,请联系 Qlik Support。
Qlik 客户门户网站
正在加载 SearchUnify 的搜索 如果您需要有关产品的帮助,请联系 Qlik Support。
Qlik 客户门户网站

管理内容安全策略 (CSP)

Qlik Cloud 中控制和管理您的内容安全策略 (CSP),以增强对跨站点脚本 (XSS) 和数据注入等攻击的防护。

Qlik Cloud 使用内容安全策略 (CSP) 级别 2,其提供了额外的安全层,有助于检测和减轻某些类型的攻击,包括 XSS 和数据注入攻击。这些攻击会导致数据被盗、网站被篡改和恶意软件的分发。

CSP 允许租户管理员控制扩展或主题可以为给定页面加载的资源。策略主要涉及指定服务器来源和脚本端点。如果扩展或主题包含对外部资源的资源请求,则必须将这些来源添加到 CSP 中的允许列表中。

有关更多信息,请参阅 MDN Web 文档:内容安全策略 (CSP)

指令

指令控制可从中加载特定资源类型的位置。支持以下指令:

指令
指令 描述

child-src

定义 Web 工作线程和使用元素(诸如 <frame><iframe>)加载的嵌套浏览上下文的有效源。

使用 frame-srcworker-src 可实现更具体的控制。

form-action

限制可以用作来自给定上下文的提交目标的 URL。

media-src

使用 <audio><video><track> 元素指定用于加载媒体的有效源。

style-src

指定样式工作表的有效源。

connect-src

限制可使用脚本接口加载的 URL。

frame-src

使用元素(诸如 <frame><iframe>),为嵌套的浏览上下文指定有效的源。
frame-ancestors 使用 <frame><iframe><object><embed><applet> 指定用于嵌入资源的有效源。

object-src

指定 <object><embed><applet> 元素的有效源。

object-src 控制的元素被视为传统 HTML 元素,并且没有获得新的标准化功能(诸如 <iframe> 的安全属性 sandboxallow)。建议限制该获取指令,例如在可行时,显式地设置 object-src 'none'

worker-src

WorkerSharedWorkerServiceWorker 脚本指定有效的源。

font-src

为使用 @font-face 加载的字体指定有效源。

image-src

指定图像和偏爱图标的有效源。

script-src

为 JavaScript 指定有效的源。

Qlik Cloud 默认 CSP

Qlik Cloud 具有默认 CSP,其中包括被视为安全的域。例如,您可以使用来自以下域的图像,而无需将它们添加到您的 CSP

  • maps.qlikcloud.com

  • ibasemaps-api.arcgis.com

  • cdn.pendo.io

  • app.pendo.io

  • pendo-static-5763789454311424.storage.googleapis.com

  • data.pendo.io

  • *.gravatar.com *.wp.com *。

  • googleusercontent.com

  • cdn.qlik-stage.com

  • cdn.qlikcloud.com

有关默认域的完整列表,请参阅允许列出域名和 IP 地址

CSP 条目和标题限制

每个租户的最大 CSP 条目数值和 CSP 标题中的最大字符数值是内置的,不能更改。

  • 最大条目数:每个租户最多可有 256 个 CSP 条目。如果超过这个范围,请先删除多余的条目,然后再增加新条目。

  • 标题长度:CSP 标题长度最长可为 6,144 个字符。如果超过这个限值,请先删除多余的条目,然后再增加新条目。

创建 CSP 条目

执行以下操作:

  1. Administration 活动中心,转到内容安全政策
  2. 单击添加

  3. 提供名称。

  4. 用以下格式之一键入源:

    • domain.com

    • *.domain.com

    信息注释Qlik Sense 执行 HTTPS。

  5. 选择适用的指令。

  6. 单击添加

用户必须刷新浏览器,更改才能生效。

编辑 CSP 条目

执行以下操作:

  1. Administration 活动中心,转到内容安全政策
  2. 找到要编辑的 CSP 条目,单击 更多,然后选择编辑
  3. 根据需要更改 CSP 选项。
  4. 单击保存

用户必须刷新浏览器,更改才能生效。

删除 CSP 条目

执行以下操作:

  1. Administration 活动中心,转到内容安全政策

  2. 选择要删除的 CSP 条目,然后单击删除

  3. 确认删除。

查看和复制 CSP 标题

执行以下操作:

  1. Administration 活动中心,转到内容安全政策
  2. 单击查看标题
  3. 在对话框中,单击复制到剪切板
  4. 单击完成

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们!

在此处留下您的反馈