Tableau Server 具備 Clickjack 攻擊保護功能。Clickjacking 是一種針對網頁的攻擊,在這種攻擊中,攻擊者會試圖在一個不相關頁面上的透明層中顯示攻擊頁面,從而誘騙使用者按一下或輸入內容。在 Tableau Server 的上下文中,攻擊者可能會試圖使用 Clickjack 攻擊來捕獲使用者認證,或讓授權使用者在您的伺服器上變更設定。有關 Clickjack 攻擊的詳情,請參閱開放式 Web 應用程式安全專案網站上的 Clickjacking(連結在新視窗開啟)

附註: Tableau Server 的以前版本中提供了 Clickjack 保護功能,但預設情況下處於禁用狀態。新安裝的 Tableau Server 9.1 及更高版本將始終開啟 Clickjack 保護功能,除非您顯式地將其禁用。

Clickjack 保護的效果

如果在 Tableau Server 中啟用了 Clickjack 保護,從 Tableau Server 載入的頁面的行為將在以下方面發生變化:

  • Tableau Server 會向伺服器發出的特定響應中新增 X-Frame-Options: SAMEORIGIN 標頭。在大多數瀏覽器的最新版本中,此標頭將防止內容載入到 <iframe> 元素中,從而說明抵禦 Clickjack 攻擊。

  • Tableau Server 中的頂級頁面無法載入到 <iframe> 元素中。其中包括登入頁面。產生的一種影響是:您無法在所建立的應用程式中承載 Tableau Server 頁面。

  • 只能內嵌檢視。

  • 如果內嵌的檢視需要資料來源認證,則會在 <iframe> 元素中顯示一條帶有連結的訊息,以便在使用者可安全輸入認證的安全視窗中開啟檢視。使用者在輸入認證之前應始終驗證開啟的視窗的位址。

  • 只有當檢視在查詢字串中包括 :embed=y 參數時,才能載入檢視,如此範例中所示:

    http://<server>/views/Sales/CommissionModel?:embed=y

    附註:啟用了 Clickjack 保護後,使用從瀏覽器位址欄中複製的 URL 的內嵌式檢視可能無法載入。如果在 Tableau Server 上啟用了 Clickjack 保護,伺服器名稱後面包含井號 (#) 的這些檢視 URL(例如,http://myserver/#/views/Sales/CommissionModel?:embed=y)將被阻止。

停用Clickjack 保護

除非 Clickjack 保護對使用者使用 Tableau Server 的方式產生影響,否則您應始終啟用 Clickjack 保護。如果想要停用Clickjack 保護,請使用以下 tsm 命令:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱tsm pending-changes apply

感謝您的意見回饋!