HTTP-svarsrubriker
Tableau Server stöder några av de svarsrubriker som anges i OWASP Secure Headers Project(Länken öppnas i ett nytt fönster).
Det här ämnet beskriver hur du konfigurerar följande svarsrubriker för Tableau Server:
- HTTP Strict Transport Security (HSTS)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
Tableau Server stöder även standarden Content Security Policy (CSP). CSP-konfigurationen gås inte igenom i det här ämnet. Läs mer i Säkerhetspolicy för innehåll.
Konfigurera svarsrubriker
Alla svarsrubriker konfigureras med kommandot tsm configuration set.
När du är klar med att konfigurera svarsrubriker kör du tsm pending-changes apply.
Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.
HTTP Strict Transport Security (HSTS)
HSTS tvingar klienter som ansluter till Tableau Server att ansluta med HTTPS. Mer information finns i OWASP-posten, HTTP Strict Transport Security (HSTS)(Länken öppnas i ett nytt fönster).
Alternativ
gateway.http.hsts
Standardvärde: false
HSTS-huvudet (HTTP Strict Transport Security) tvingar webbläsare att använda HTTPS på den domän där det är aktiverat.
gateway.http.hsts_options
Standardvärde: "max-age=31536000"
Som standard är HSTS-policyn inställd på ett år (31 536 000 sekunder). Den här tidsperioden anger hur länge webbläsaren ansluter till servern via HTTPS.
Referrer-Policy
Från och med 2019.2 inkluderar Tableau Server en funktion som kan konfigurera beteende för HTTP-rubriker för hänvisningspolicy. Den här principen är aktiverad med ett standardbeteende som inkluderar ursprungs-URL för alla ”säkra som”-anslutningar (princip no-referrer-when-downgrade). I tidigare versioner inkluderades inte rubriken för hänvisningspolicy i svar som skickades av Tableau Server. Mer information om de olika principalternativen som Referrer-Policy stöder finns i OWASP-posten, Referrer-Policy(Länken öppnas i ett nytt fönster).
Alternativ
gateway.http.referrer_policy_enabled
Standardvärde: true
Exkludera Referrer-Policy-rubriken från svar som skickas av Tableau Server genom att ställa in det här värdet till false.
gateway.http.referrer_policy
Standardvärde: no-referrer-when-downgrade
Det här alternativet definierar refereringsprincipen för Tableau Server. Du kan ange alla de principvärdesträngar som listas i tabellen Referrer-Policy(Länken öppnas i ett nytt fönster) på OWASP-sidan.
X-Content-Type-Options
HTTP-svarshuvudet X-Content-Type-Options anger att MIME-typen i Content-Type-huvudet inte ska ändras av webbläsaren. I vissa fall där MIME-typ inte anges kan webbläsaren försöka fastställa MIME-typen genom att utvärdera egenskaperna hos en nyttolast. Webbläsaren visar då innehållet enligt detta. Den här processen kallas MIME-kontroll (”sniffing”). Om MIME-typen feltolkas kan det leda till säkerhetsrisker.
Mer information finns i OWASP-posten X-Content-Type-Options(Länken öppnas i ett nytt fönster).
Alternativ
gateway.http.x_content_type_nosniff
Standardvärde: true
HTTP-huvudet X-Content-Type-Options ställs som standard in på ”nosniff” med det här alternativet.
X-XSS-Protection
HTTP-svarshuvudet X-XSS-Protection skickas till webbläsaren för att aktivera skydd mot skriptkörning över flera webbplatser (XSS). Svarshuvudet X-XSS-Protection åsidosätter konfigurationer där användarna har inaktiverat XXS-skyddet i webbläsaren.
Mer information finns i OWASP-posten X-XSS-Protection(Länken öppnas i ett nytt fönster).
Alternativ
gateway.http.x_xss_protection
Standardvärde: true
Svarshuvudet X-XSS-Protection är som standard aktiverat med det här alternativet.