Encabezados de respuesta HTTP

Tableau Server soporta algunos de los encabezados de respuesta especificados en el proyecto Secure Headers de OWASP(El enlace se abre en una ventana nueva).

Este tema describe cómo configurar los siguientes encabezados de respuesta para Tableau Server.

  • Seguridad de transporte HTTP estricta (HSTS)
  • Referrer-Policy
  • Opciones de tipo X-Content
  • Protección X-XSS

Tableau Server también admite el estándar CSP (directiva de seguridad del contenido). La configuración de CSP no se trata en este tema. Consulte Directiva de seguridad del contenido.

Configuración de encabezados de respuesta

Todos los encabezados de respuesta se configuran con el comando tsm configuration set.

Cuando haya terminado de configurar los encabezados de respuesta, ejecute tsm pending-changes apply.

Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Seguridad de transporte HTTP estricta (HSTS)

HSTS obliga a los clientes que se conectan a Tableau Server a hacerlo con HTTPS. Para obtener más información, consulte la entrada de OWASP HTTP Strict Transport Security (HSTS)(El enlace se abre en una ventana nueva) (en inglés).

Opciones

gateway.http.hsts

Valor predeterminado: false

El encabezado Seguridad de transporte HTTP estricta (HSTS) fuerza a los navegadores a usar HTTPS en el dominio donde esté habilitado.

gateway.http.hsts_options

Valor predeterminado: "max-age=31536000"

La directiva de HSTS está establecida de forma predeterminada en un año (31 536 000 segundos). Este período de tiempo especifica la cantidad de tiempo durante la que el navegador accederá al servidor a través de HTTPS.

Referrer-Policy

A partir de 2019.2, Tableau Server incluye la capacidad de configurar el comportamiento de los encabezados HTTP Referrer-Policy. Esta directiva está habilitada con un comportamiento predeterminado que incluye la URL de origen para todas las conexiones "seguras como" (directiva no-referrer-when-downgrade). En versiones anteriores, el encabezado Referrer-Policy no se incluía en las respuestas enviadas por Tableau Server. Para obtener más información acerca de las diversas opciones de directivas que admite Referrer-Policy, consulte la entrada de OWASP Referrer-Policy(El enlace se abre en una ventana nueva) (en inglés).

Opciones

gateway.http.referrer_policy_enabled

Valor predeterminado: true

Para excluir el encabezado Referrer-Policy de las respuestas enviadas por Tableau Serrver, establezca este valor en false.

gateway.http.referrer_policy

Valor predeterminado: no-referrer-when-downgrade

Esta opción define la directiva de referencias para Tableau Server. Puede especificar cualquiera de las cadenas de valor de directiva enumeradas en la tabla Referrer-Policy(El enlace se abre en una ventana nueva) de la página de OWASP.

Opciones de tipo X-Content

El encabezado HTTP de respuesta X-Content-Type-Options especifica que el navegador no debe cambiar el tipo de MIME en el encabezado Content-Type. En algunos casos, cuando no se especifica el tipo de MIME, el navegador puede intentar determinarlo evaluando las características de la carga. A continuación, el navegador mostrará el contenido como corresponda. Este proceso recibe el nombre de "sniffing". Una mala interpretación del tipo de MIME puede provocar vulnerabilidades en la seguridad.

Para obtener más información, consulte la entrada de OWASP X-Content-Type-Options(El enlace se abre en una ventana nueva) (en inglés).

Opción

gateway.http.x_content_type_nosniff

Valor predeterminado: true

El encabezado HTTP X-Content-Type-Options se establece en "nosniff" de forma predeterminada con esta opción.

Protección X-XSS

Se envía al navegador el encabezado de respuesta HTTP X-XSS-Protection para habilitar la protección contra la ejecución de comandos en sitios cruzados (XSS, por sus siglas en inglés). El encabezado de respuesta X-XSS-Protection anula la configuración del usuario si este ha deshabilitado la protección contra XSS en el navegador.

Para obtener más información, consulte la entrada de OWASP X-XSS-Protection(El enlace se abre en una ventana nueva) (en inglés).

Opción

gateway.http.x_xss_protection

Valor predeterminado: true

El encabezado de respuesta X-XSS-Protection está habilitado de forma predeterminada en esta opción.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!