Tableau Server 支援 OWASP Secure Headers Project(連結在新視窗開啟) 中指定的部分回應標頭。

本主題說明如何針對 Tableau Server 設定下列回應標頭:

  • HTTP 嚴格傳輸安全性 (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

Tableau Server 也支援內容安全性原則 (CSP) 標準。本主題內容並未涵蓋 CSP 設定。請參閱內容安全性原則

設定 HTTP 回應標頭

所有回應標頭都可使用 tsm configuration set 命令設定。

在完成回應標頭設定後,請執行 tsm pending-changes apply

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱tsm pending-changes apply

HTTP 嚴格傳輸安全性 (HSTS)

HSTS 會強制連線至 Tableau Server 的用戶端使用 HTTPS 進行連線。有關詳情,請參閱 OWASP 項目 HTTP 嚴格傳輸安全性 (HSTS)(連結在新視窗開啟)

選項

gateway.http.hsts

預設值:false

HTTP 嚴格傳輸安全性 (HSTS) 頭強制瀏覽器在啟用它的域上使用 HTTPS。

gateway.http.hsts_options

預設值:"max-age=31536000"

預設情況下,會為一年(31536000 秒)期間設定 HSTS 原則。此時間段指定瀏覽器將透過 HTTPS 存取伺服器的時間量。

Referrer-Policy

自 2019.2 之後的版本,Tableau Server 即加入可設定 Referrer-Policy HTTP 標頭行為的功能。此原則將藉由預設行為啟用,並針對所有「視為安全」的連線加入原始 URL(原則 no-referrer-when-downgrade)。在舊版中,Referrer-Policy 標頭未包含在由 Tableau Server 傳送的回應中。有關 Referrer-Policy 支援的各種原則選項的詳情,請參閱 OWASP 項目 Referrer-Policy(連結在新視窗開啟)

選項

gateway.http.referrer_policy_enabled

預設值:true

若要排除由 Tableau Server 傳送的 Referrer-Policy 標頭,請將此值設為 false

gateway.http.referrer_policy

預設值:no-referrer-when-downgrade

此選項會為 Tableau Server 定義參照網址原則。您可指定 OWASP 頁面上 Referrer-Policy(連結在新視窗開啟) 資料表中所列的任何原則值字串。

X-Content-Type-Options

X-Content-Type-Options 回應 HTTP 頭指定 Content-Type 頭中的 MIME 類型不應由瀏覽器變更。在某些情況下,如果未指定 MIME 類型,則瀏覽器可能會透過評估有效負載的特徵來嘗試確定 MIME 類型。然後瀏覽器將相應地顯示內容。這個過程被稱為 [嗅探] 。誤解 MIME 類型可能會導致安全性漏洞。

有關詳情,請參閱 OWASP 項目 X-Content-Type-Options(連結在新視窗開啟)

選項

gateway.http.x_content_type_nosniff

預設值:true

預設情況下,系統使用此選項將 X-Content-Type-Options HTTP 頭設定為 [nosniff] 。

X-XSS-Protection

HTTP X-XSS-Protection 回應頭會傳送到瀏覽器以啟用跨網站指令碼 (XSS) 保護。在使用者在瀏覽器中停用XSS 保護的情況下,X-XSS-Protection 回應頭會覆蓋設定。

有關詳情,請參閱 OWASP 項目 X-XSS-Protection(連結在新視窗開啟)

選項

gateway.http.x_xss_protection

預設值:true

預設情況下,系統使用此選項啟用了 X-XSS-Protection 回應頭。

感謝您的意見回饋!