Protección contra ataques clickjack

Tableau Server incluye protección contra ataques de tipo clickjack. El secuestro de clics es un tipo de ataque dirigido a páginas web en el que el atacante intenta hacer que los usuarios hagan clic o escriban contenido mostrando la página que quiere atacar en una capa transparente sobre una página no relacionada. En el contexto de Tableau Server, un atacante puede intentar usar un ataque de clickjack para capturar credenciales de usuario o para lograr que un usuario autenticado cambie la configuración del servidor. Para obtener más información sobre los ataques por secuestro de clics, consulte Secuestro de clics(El enlace se abre en una ventana nueva) (Ataque por redireccionamiento de UI, en inglés) en el sitio web de Open Web Application Security Project.

Nota: La protección frente a los ataques clickjack estaba disponible en versiones anteriores de Tableau Server, pero venía deshabilitada de forma predeterminada. Las instalaciones nuevas de Tableau Server 9.1 y versiones posteriores siempre tendrán la protección contra ataques clickjack activada a menos que la deshabilite manualmente.

Efectos de la protección contra ataques clickjack

Cuando la protección contra ataques clickjack está habilitada en Tableau Server, el comportamiento de las páginas cargadas desde Tableau Server cambia del modo siguiente:

  • Tableau Server agrega el encabezado X-Frame-Options: SAMEORIGIN a ciertas respuestas del servidor. En las versiones actuales de la mayoría de los exploradores, este encabezado impide que el contenido se cargue en un elemento <iframe>, lo cual sirve para detener los ataques de tipo clickjack.

  • La página de nivel superior de Tableau Server no se puede cargar en elementos <iframe>. Esto incluye la página de inicio de sesión. Una consecuencia es que no podrá hospedar páginas de Tableau Server en una aplicación que usted haya creado.

  • Solo se pueden incrustar las vistas.

  • Si una vista incrustada requiere credenciales de fuente de datos, se muestra un mensaje en el elemento <iframe> con un vínculo para abrir la vista en una ventana segura donde el usuario puede escribir las credenciales sin riesgos. Los usuarios deben comprobar siempre la dirección de la ventana abierta antes de escribir las credenciales.

  • Las vistas solo se pueden cargan si incluyen el parámetro :embed=y en la cadena de consulta, como en el ejemplo:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Nota: Si la protección contra ataques clickjack está habilitada, es posible que no se carguen las vistas incrustadas que usan la URL copiada de la barra de direcciones del navegador. Estas URL de la vista suelen contener el símbolo de almohadilla (#) después del nombre del servidor (por ejemplo, http://myserver/#/views/Sales/CommissionModel?:embed=y) y se bloquean cuando la protección contra ataques clickjack está habilitada en Tableau Server.

Deshabilitar la protección contra secuestro de clics

No deshabilite la protección contra ataques clickjack a menos que repercuta en el uso que los usuarios hacen de Tableau Server. Si quiere deshabilitar la protección contra ataques clickjack, use los siguientes comandos de tsm:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!