Encabezados de respuesta HTTP
Tableau Server soporta algunos de los encabezados de respuesta especificados en el proyecto Secure Headers de OWASP(El enlace se abre en una ventana nueva).
Este tema describe cómo configurar los siguientes encabezados de respuesta para Tableau Server.
- Seguridad de transporte HTTP estricta (HSTS)
- Referrer-Policy
- Opciones de tipo X-Content
- Protección X-XSS
Tableau Server también admite el estándar CSP (directiva de seguridad del contenido). La configuración de CSP no se trata en este tema. Consulte Directiva de seguridad del contenido.
Configuración de encabezados de respuesta
Todos los encabezados de respuesta se configuran con el comando tsm configuration set.
Cuando haya terminado de configurar los encabezados de respuesta, ejecute tsm pending-changes apply.
Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.
Seguridad de transporte HTTP estricta (HSTS)
HSTS obliga a los clientes que se conectan a Tableau Server a hacerlo con HTTPS. Para obtener más información, consulte la entrada de OWASP HTTP Strict Transport Security (HSTS)(El enlace se abre en una ventana nueva) (en inglés).
Opciones
gateway.http.hsts
Valor predeterminado: false
El encabezado Seguridad de transporte HTTP estricta (HSTS) fuerza a los navegadores a usar HTTPS en el dominio donde esté habilitado.
gateway.http.hsts_options
Valor predeterminado: "max-age=31536000"
La directiva de HSTS está establecida de forma predeterminada en un año (31 536 000 segundos). Este período de tiempo especifica la cantidad de tiempo durante la que el navegador accederá al servidor a través de HTTPS.
Referrer-Policy
A partir de 2019.2, Tableau Server incluye la capacidad de configurar el comportamiento de los encabezados HTTP Referrer-Policy. Esta directiva está habilitada con un comportamiento predeterminado que incluye la URL de origen para todas las conexiones "seguras como" (directiva no-referrer-when-downgrade). En versiones anteriores, el encabezado Referrer-Policy no se incluía en las respuestas enviadas por Tableau Server. Para obtener más información acerca de las diversas opciones de directivas que admite Referrer-Policy, consulte la entrada de OWASP Referrer-Policy(El enlace se abre en una ventana nueva) (en inglés).
Opciones
gateway.http.referrer_policy_enabled
Valor predeterminado: true
Para excluir el encabezado Referrer-Policy de las respuestas enviadas por Tableau Serrver, establezca este valor en false.
gateway.http.referrer_policy
Valor predeterminado: no-referrer-when-downgrade
Esta opción define la directiva de referencias para Tableau Server. Puede especificar cualquiera de las cadenas de valor de directiva enumeradas en la tabla Referrer-Policy(El enlace se abre en una ventana nueva) de la página de OWASP.
Opciones de tipo X-Content
El encabezado HTTP de respuesta X-Content-Type-Options especifica que el navegador no debe cambiar el tipo de MIME en el encabezado Content-Type. En algunos casos, cuando no se especifica el tipo de MIME, el navegador puede intentar determinarlo evaluando las características de la carga. A continuación, el navegador mostrará el contenido como corresponda. Este proceso recibe el nombre de "sniffing". Una mala interpretación del tipo de MIME puede provocar vulnerabilidades en la seguridad.
Para obtener más información, consulte la entrada de OWASP X-Content-Type-Options(El enlace se abre en una ventana nueva) (en inglés).
Opción
gateway.http.x_content_type_nosniff
Valor predeterminado: true
El encabezado HTTP X-Content-Type-Options se establece en "nosniff" de forma predeterminada con esta opción.
Protección X-XSS
Se envía al navegador el encabezado de respuesta HTTP X-XSS-Protection para habilitar la protección contra la ejecución de comandos en sitios cruzados (XSS, por sus siglas en inglés). El encabezado de respuesta X-XSS-Protection anula la configuración del usuario si este ha deshabilitado la protección contra XSS en el navegador.
Para obtener más información, consulte la entrada de OWASP X-XSS-Protection(El enlace se abre en una ventana nueva) (en inglés).
Opción
gateway.http.x_xss_protection
Valor predeterminado: true
El encabezado de respuesta X-XSS-Protection está habilitado de forma predeterminada en esta opción.