Der Tableau-Server unterstützt einige der im OWASP Secure Headers Project(Link wird in neuem Fenster geöffnet) angegebenen Antwortkopfzeilen.

In diesem Thema wird beschrieben, wie Sie die folgenden Antwortkopfzeilen für Tableau-Server konfigurieren:

  • HTTP Strenge Transportsicherheit (HSTS)
  • Referrer-Policy
  • X-Content-Type-Optionen
  • X-XSS-Schutz

Der Tableau-Server unterstützt auch die Content Security Policy (CSP)-Standard. Die CSP-Konfiguration wird in diesem Thema nicht behandelt. Siehe Inhaltssicherheitsrichtlinie.

Antwortkopfzeilen konfigurieren

Alle Antwortkopfzeilen werden mit dem Befehl tsm configuration set konfiguriert.

Wenn Sie mit der Konfiguration der Antwortköpfe fertig sind, führen Sie den Befehl tsm pending-changes apply aus.

Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

HTTP Strenge Transportsicherheit (HSTS)

HSTS zwingt Clients, die sich mit dem Tableau-Server verbinden, sich mit HTTPS zu verbinden. Weitere Informationen finden Sie im OWASP-Eintrag, HTTP Strict Transport Security (HSTS)(Link wird in neuem Fenster geöffnet).

Optionen

gateway.http.hsts

Standardwert: false

Wenn aktiviert, zwingt der HTTP-Header „Strict Transport Security (HSTS)“ Browser dazu, HTTPS für die Domäne zu verwenden.

gateway.http.hsts_options

Standardwert: "max-age=31536000"

Standardmäßig ist die HSTS-Richtlinie auf ein Jahr (31.536.000 Sekunden) festgelegt. Dieser Zeitraum legt die Zeit fest, in der der Browser über HTTPS auf den Server zugreift.

Referrer-Policy

Ab 2019.2 bietet Tableau Server die Möglichkeit, das HTTP-Header-Verhalten der Referrer-Policy zu konfigurieren. Diese Richtlinie ist mit einem Standardverhalten aktiviert, das die Herkunfts-URL für alle „sicheren Verbindungen“ (Richtlinie no-referrer-when-downgrade) enthält. In früheren Versionen wurde der Referrer-Policy-Header nicht in die vom Tableau-Server gesendeten Antworten aufgenommen. Weitere Informationen zu den verschiedenen Richtlinienoptionen, die von Referrer-Policy unterstützt werden, finden Sie im OWASP-Eintrag Referrer-Policy(Link wird in neuem Fenster geöffnet).

Optionen

gateway.http.referrer_policy_aktiviert

Standardwert: true

Um den Referrer-Policy-Header von den vom Tableau-Server gesendeten Antworten auszuschließen, setzen Sie diesen Wert auf false.

gateway.http.referrer_policy

Standardwert: no-referrer-when-downgrade

Diese Option definiert die Referrer-Policy für Tableau-Server. Sie können jeden der in der Tabelle Referrer-Policy(Link wird in neuem Fenster geöffnet) auf der Seite OWASP aufgeführten Policy-Werte angeben.

X-Content-Type-Optionen

Der HTTP-Antwortheader „X-Content-Type-Options“ legt fest, dass der MIME-Typ im „Content-Type“-Header vom Browser nicht geändert werden darf. In manchen Fällen, wenn kein MIME-Typ festgelegt ist, versucht ein Browser unter Umständen, den MIME-Typ durch Auswertung der Eigenschaften der Payload zu bestimmen. Anschließend zeigt der Browser den Inhalt entsprechend an. Diesen Vorgang nennt man „Sniffing“. Eine Fehlinterpretation des MIME-Typs kann zu Sicherheitslücken führen.

Weitere Informationen finden Sie im OWASP-Eintrag, X-Content-Type-Options(Link wird in neuem Fenster geöffnet).

Option

gateway.http.x_content_type_nosniff

Standardwert: true

Standardmäßig ist der HTTP-Header „X-Content-Type-Options“ mit dieser Option auf „nosniff“ festgelegt.

X-XSS-Schutz

Der HTTP-Antwortheader "X-XSS-Protection" wird an den Browser gesendet, um Schutz vor Cross-Site Scripting (XSS) zu gewährleisten. Der Antwortheader "X-XSS-Protection" überschreibt Konfigurationen in Fällen, in denen Benutzer XSS-Schutz im Browser deaktiviert haben.

Weitere Informationen finden Sie im OWASP-Eintrag X-XSS-Protection(Link wird in neuem Fenster geöffnet).

Option

gateway.http.x_xss_protection

Standardwert: true

Der Antwortheader "X-XSS-Protection" ist mit dieser Option standardmäßig aktiviert.

Vielen Dank für Ihr Feedback!