HTTP-Response-Header
Der Tableau-Server unterstützt einige der im OWASP Secure Headers Project(Link wird in neuem Fenster geöffnet) angegebenen Antwortkopfzeilen.
In diesem Thema wird beschrieben, wie Sie die folgenden Antwortkopfzeilen für Tableau-Server konfigurieren:
- HTTP Strenge Transportsicherheit (HSTS)
- Referrer-Policy
- X-Content-Type-Optionen
- X-XSS-Schutz
Der Tableau-Server unterstützt auch die Content Security Policy (CSP)-Standard. Die CSP-Konfiguration wird in diesem Thema nicht behandelt. Siehe Inhaltssicherheitsrichtlinie.
Antwortkopfzeilen konfigurieren
Alle Antwortkopfzeilen werden mit dem Befehl tsm configuration set konfiguriert.
Wenn Sie mit der Konfiguration der Antwortköpfe fertig sind, führen Sie den Befehl tsm pending-changes apply aus.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
HTTP Strenge Transportsicherheit (HSTS)
HSTS zwingt Clients, die sich mit dem Tableau-Server verbinden, sich mit HTTPS zu verbinden. Weitere Informationen finden Sie im OWASP-Eintrag, HTTP Strict Transport Security (HSTS)(Link wird in neuem Fenster geöffnet).
Optionen
gateway.http.hsts
Standardwert: false
Wenn aktiviert, zwingt der HTTP-Header „Strict Transport Security (HSTS)“ Browser dazu, HTTPS für die Domäne zu verwenden.
gateway.http.hsts_options
Standardwert: "max-age=31536000"
Standardmäßig ist die HSTS-Richtlinie auf ein Jahr (31.536.000 Sekunden) festgelegt. Dieser Zeitraum legt die Zeit fest, in der der Browser über HTTPS auf den Server zugreift.
Referrer-Policy
Ab 2019.2 bietet Tableau Server die Möglichkeit, das HTTP-Header-Verhalten der Referrer-Policy zu konfigurieren. Diese Richtlinie ist mit einem Standardverhalten aktiviert, das die Herkunfts-URL für alle „sicheren Verbindungen“ (Richtlinie no-referrer-when-downgrade
) enthält. In früheren Versionen wurde der Referrer-Policy-Header nicht in die vom Tableau-Server gesendeten Antworten aufgenommen. Weitere Informationen zu den verschiedenen Richtlinienoptionen, die von Referrer-Policy unterstützt werden, finden Sie im OWASP-Eintrag Referrer-Policy(Link wird in neuem Fenster geöffnet).
Optionen
gateway.http.referrer_policy_aktiviert
Standardwert: true
Um den Referrer-Policy-Header von den vom Tableau-Server gesendeten Antworten auszuschließen, setzen Sie diesen Wert auf false
.
gateway.http.referrer_policy
Standardwert: no-referrer-when-downgrade
Diese Option definiert die Referrer-Policy für Tableau-Server. Sie können jeden der in der Tabelle Referrer-Policy(Link wird in neuem Fenster geöffnet) auf der Seite OWASP aufgeführten Policy-Werte angeben.
X-Content-Type-Optionen
Der HTTP-Antwortheader „X-Content-Type-Options“ legt fest, dass der MIME-Typ im „Content-Type“-Header vom Browser nicht geändert werden darf. In manchen Fällen, wenn kein MIME-Typ festgelegt ist, versucht ein Browser unter Umständen, den MIME-Typ durch Auswertung der Eigenschaften der Payload zu bestimmen. Anschließend zeigt der Browser den Inhalt entsprechend an. Diesen Vorgang nennt man „Sniffing“. Eine Fehlinterpretation des MIME-Typs kann zu Sicherheitslücken führen.
Weitere Informationen finden Sie im OWASP-Eintrag, X-Content-Type-Options(Link wird in neuem Fenster geöffnet).
Option
gateway.http.x_content_type_nosniff
Standardwert: true
Standardmäßig ist der HTTP-Header „X-Content-Type-Options“ mit dieser Option auf „nosniff“ festgelegt.
X-XSS-Schutz
Der HTTP-Antwortheader "X-XSS-Protection" wird an den Browser gesendet, um Schutz vor Cross-Site Scripting (XSS) zu gewährleisten. Der Antwortheader "X-XSS-Protection" überschreibt Konfigurationen in Fällen, in denen Benutzer XSS-Schutz im Browser deaktiviert haben.
Weitere Informationen finden Sie im OWASP-Eintrag X-XSS-Protection(Link wird in neuem Fenster geöffnet).
Option
gateway.http.x_xss_protection
Standardwert: true
Der Antwortheader "X-XSS-Protection" ist mit dieser Option standardmäßig aktiviert.