HTTP-svarsrubriker

Tableau Server stöder några av de svarsrubriker som anges i OWASP Secure Headers Project(Länken öppnas i ett nytt fönster).

Det här ämnet beskriver hur du konfigurerar följande svarsrubriker för Tableau Server:

  • HTTP Strict Transport Security (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

Tableau Server stöder även standarden Content Security Policy (CSP). CSP-konfigurationen gås inte igenom i det här ämnet. Läs mer i Säkerhetspolicy för innehåll.

Konfigurera svarsrubriker

Alla svarsrubriker konfigureras med kommandot tsm configuration set.

När du är klar med att konfigurera svarsrubriker kör du tsm pending-changes apply.

Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

HTTP Strict Transport Security (HSTS)

HSTS tvingar klienter som ansluter till Tableau Server att ansluta med HTTPS. Mer information finns i OWASP-posten, HTTP Strict Transport Security (HSTS)(Länken öppnas i ett nytt fönster).

Alternativ

gateway.http.hsts

Standardvärde: false

HSTS-huvudet (HTTP Strict Transport Security) tvingar webbläsare att använda HTTPS på den domän där det är aktiverat.

gateway.http.hsts_options

Standardvärde: "max-age=31536000"

Som standard är HSTS-policyn inställd på ett år (31 536 000 sekunder). Den här tidsperioden anger hur länge webbläsaren ansluter till servern via HTTPS.

Referrer-Policy

Från och med 2019.2 inkluderar Tableau Server en funktion som kan konfigurera beteende för HTTP-rubriker för hänvisningspolicy. Den här principen är aktiverad med ett standardbeteende som inkluderar ursprungs-URL för alla ”säkra som”-anslutningar (princip no-referrer-when-downgrade). I tidigare versioner inkluderades inte rubriken för hänvisningspolicy i svar som skickades av Tableau Server. Mer information om de olika principalternativen som Referrer-Policy stöder finns i OWASP-posten, Referrer-Policy(Länken öppnas i ett nytt fönster).

Alternativ

gateway.http.referrer_policy_enabled

Standardvärde: true

Exkludera Referrer-Policy-rubriken från svar som skickas av Tableau Server genom att ställa in det här värdet till false.

gateway.http.referrer_policy

Standardvärde: no-referrer-when-downgrade

Det här alternativet definierar refereringsprincipen för Tableau Server. Du kan ange alla de principvärdesträngar som listas i tabellen Referrer-Policy(Länken öppnas i ett nytt fönster) på OWASP-sidan.

X-Content-Type-Options

HTTP-svarshuvudet X-Content-Type-Options anger att MIME-typen i Content-Type-huvudet inte ska ändras av webbläsaren. I vissa fall där MIME-typ inte anges kan webbläsaren försöka fastställa MIME-typen genom att utvärdera egenskaperna hos en nyttolast. Webbläsaren visar då innehållet enligt detta. Den här processen kallas MIME-kontroll (”sniffing”). Om MIME-typen feltolkas kan det leda till säkerhetsrisker.

Mer information finns i OWASP-posten X-Content-Type-Options(Länken öppnas i ett nytt fönster).

Alternativ

gateway.http.x_content_type_nosniff

Standardvärde: true

HTTP-huvudet X-Content-Type-Options ställs som standard in på ”nosniff” med det här alternativet.

X-XSS-Protection

HTTP-svarshuvudet X-XSS-Protection skickas till webbläsaren för att aktivera skydd mot skriptkörning över flera webbplatser (XSS). Svarshuvudet X-XSS-Protection åsidosätter konfigurationer där användarna har inaktiverat XXS-skyddet i webbläsaren.

Mer information finns i OWASP-posten X-XSS-Protection(Länken öppnas i ett nytt fönster).

Alternativ

gateway.http.x_xss_protection

Standardvärde: true

Svarshuvudet X-XSS-Protection är som standard aktiverat med det här alternativet.

Tack för din feedback!Din feedback har skickats in. Tack!