Clickjacking-Schutz

Tableau Server bietet Schutz vor Clickjacking-Angriffen. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Bezogen auf Tableau Server bedeutet dies, dass ein Angreifer einen Clickjacking-Angriff starten könnte, um Benutzer-Anmeldeinformationen zu erfassen oder um einen authentifizierten Benutzer dazu zu bewegen, die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

Hinweis:Der Clickjacking-Schutz war in vorherigen Tableau Server zwar vorhanden, aber standardmäßig deaktiviert. Bei neuen Installationen ab Tableau Server 9.1 ist der Clickjacking-Schutz immer aktiviert, es sei denn, Sie haben ihn explizit deaktiviert.

Auswirkungen des Clickjacking-Schutzes

Bei aktiviertem Clickjacking-Schutz in Tableau Server ändert sich das Verhalten der Seiten, die vom Tableau Server geladen werden, wie folgt:

  • Tableau Server fügt die Kopfzeile X-Frame-Options: SAMEORIGIN in bestimmten Antworten vom Server ein. Bei den aktuellen Versionen der meisten Browser verhindert diese Kopfzeile, dass der Inhalt in ein <iframe>-Element geladen wird, wodurch wiederum Clickjacking-Angriffe verhindert werden.

  • Die Seite der obersten Ebene von Tableau Server kann nicht in <iframe>-Elemente geladen werden. Dies schließt die Anmelde-Seite mit ein. Das hat u. a. zur Folge, dass Sie keine Tableau Server-Seiten in einer Anwendung hosten können, die Sie erstellen.

  • Nur Ansichten können eingebettet werden.

  • Falls für eine eingebettete Ansicht Datenquellen-Anmeldeinformationen erforderlich sind, wird im <iframe>-Element eine Meldung mit einem Link angezeigt, um die Ansicht in einem sicheren Fenster zu öffnen, in dem der Benutzer seine Anmeldeinformationen sicher eingeben kann. Benutzer sollten vor der Eingabe von Anmeldeinformationen immer die Adresse des geöffneten Fensters überprüfen.

  • Ansichten können nur geladen werden, wenn sie wie in diesem Beispiel den Parameter :embed=y in der Abfragezeichenfolge enthalten:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Hinweis:Wenn der Clickjacking-Schutz aktiviert ist, werden eingebettete Ansichten, die eine aus der Browser-Adresszeile kopierte URL verwenden, möglicherweise nicht geladen. Diese Ansichts-URLs, die für gewöhnlich ein Hash-Symbol (#) nach dem Servernamen (z. B. http://myserver/#/views/Sales/CommissionModel?:embed=y) enthalten, werden bei aktivierter Clickjacking-Funktion in Tableau Server blockiert.

Deaktivieren des Clickjacking-Schutzes

Sie sollten den Clickjacking-Schutz aktiviert lassen, es sei denn, die Arbeitsweise Ihrer Benutzer mit Tableau Server wird beeinträchtigt. Falls Sie den Clickjacking-Schutz deaktivieren möchten, verwenden Sie die folgenden tsm-Befehle:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.