HTTP 响应标头
Tableau Server 支持 OWASP Secure Headers Project(链接在新窗口中打开) 中指定的某些响应标头。
本主题介绍如何为 Tableau Server 配置以下响应标头:
- HTTP 严格传输安全性 (HSTS)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
Tableau Server 还支持内容安全策略 (CSP) 标准。本主题未讨论 CSP 配置。请参见内容安全策略。
配置响应标头
所有响应标头都是使用 tsm configuration set 命令配置的。
配置完响应标头后,运行 tsm pending-changes apply。
如果待定更改需要重新启动服务器,pending-changes apply 命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt 选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。
HTTP 严格传输安全性 (HSTS)
HSTS 强制连接到 Tableau Server 的客户端使用 HTTPS 进行连接。有关详细信息,请参见 OWASP 条目 HTTP 严格传输安全性 (HSTS)(链接在新窗口中打开)。
选项
gateway.http.hsts
默认值:false
HTTP 严格传输安全性 (HSTS) 头强制浏览器在启用它的域上使用 HTTPS。
gateway.http.hsts_options
默认值:"max-age=31536000"
默认情况下,会为一年(31536000 秒)期间设置 HSTS 策略。此时间段指定浏览器将通过 HTTPS 访问服务器的时间量。
Referrer-Policy
从 2019.2 开始,Tableau Server 包括配置 Referrer-Policy HTTP 标头行为的功能。此策略启用时的默认行为是将包括所有“secure as”连接的来源 URL(策略 no-referrer-when-downgrade)。在以前的版本中,Tableau Server 发送的响应中未包括 Referrer-Policy 标头。有关 Referrer-Policy 支持的各种策略选项的详细信息,请参见 OWASP 条目 Referrer-Policy(链接在新窗口中打开)。
选项
gateway.http.referrer_policy_enabled
默认值:true
若要从 Tableau Server 发送的响应中排除 Referrer-Policy 标头,请将此值设置为 false。
gateway.http.referrer_policy
默认值:no-referrer-when-downgrade
此选项定义 Tableau Server 的引用页策略。您可以指定 OWASP 网页上的 Referrer-Policy(链接在新窗口中打开) 表中列出的任何策略值字符串。
X-Content-Type-Options
X-Content-Type-Options 响应 HTTP 头指定 Content-Type 头中的 MIME 类型不应由浏览器更改。在某些情况下,如果未指定 MIME 类型,则浏览器可能会通过评估有效负载的特征来尝试确定 MIME 类型。然后浏览器将相应地显示内容。这个过程被称为“嗅探”。误解 MIME 类型可能会导致安全漏洞。
有关详细信息,请参见 OWASP 条目 X-Content-Type-Options(链接在新窗口中打开)。
选项
gateway.http.x_content_type_nosniff
默认值:true
默认情况下,系统使用此选项将 X-Content-Type-Options HTTP 头设置为“nosniff”。
X-XSS-Protection
HTTP X-XSS-Protection 响应头会发送到浏览器以启用跨站点脚本 (XSS) 保护。在用户在浏览器中禁用 XSS 保护的情况下,X-XSS-Protection 响应头会覆盖配置。
有关详细信息,请参见 OWASP 条目 X-XSS-Protection(链接在新窗口中打开)。
选项
gateway.http.x_xss_protection
默认值:true
默认情况下,系统使用此选项启用了 X-XSS-Protection 响应头。