Protection contre les détournements de clics
Tableau Server inclut une protection contre les attaques par détournement de clics. Le détournement de clics est un type d’attaque contre les page Web dans lesquelles l’attaquant tente d’inciter les utilisateurs à cliquer ou à saisir du contenu en affichant la page à attaquer dans une couche transparente sur une page non associée. Dans le contexte deTableau Server, l’objet d’une attaque par détournement de clics pourrait être de capturer les informations d’identification d’un utilisateur ou d’inciter un utilisateur authentifié à modifier des paramètres sur votre serveur. Pour plus d’informations sur les attaques par détournement de clics, consultez Clickjacking(Le lien s’ouvre dans une nouvelle fenêtre) (Détournement de clics) sur le site Web OWASP (Open Web Application Security Project).
Remarque : La protection contre les détournements de clics était disponible dans les versions précédentes de Tableau Server, mais elle était désactivée par défaut. Dans les nouvelles installations de Tableau Server 9.1 et ultérieur, la protection contre les détournements de clics sera toujours activée, à moins que vous ne la déasactiviez.
Effets de la protection contre les détournements de clics
Lorsque la protection contre les détournements de clics est activée dans Tableau Server, le comportement des pages chargées à partir de Tableau Server est modifié comme suit :
Tableau Server ajoute l’en-tête
X-Frame-Options: SAMEORIGINà certaines réponses du serveur. Dans les versions actuelles de la plupart des navigateurs, cet en-tête empêche le chargement de contenu dans un élément <iframe>, ce qui évite les attaques de détournement de clics.La page de niveau supérieur de Tableau Server ne peut pas être chargée dans les éléments <iframe>. Cela inclut la page de connexion. En conséquence, vous ne pouvez pas héberger des pages Tableau Server dans une application que vous créez.
Seules les vues peuvent être intégrées.
Si une vue intégrée requiert des informations d’identification de source de données, un message s’affiche dans l’élément <iframe> avec un lien permettant d’ouvrir la vue dans une fenêtre sécurisée qui offre à l’utilisateur la possiblité d’entrer en toute sécurité ses informations d’identification. Les utilisateurs doivent toujours vérifier l’adresse de la fenêtre ouverte avant d’entrer les informations d’identification.
Les vues peuvent être chargées uniquement si elles incluent le paramètre
:embed=ydans la chaîne de requête, comme dans l’exemple ci-dessous :http://<server>/views/Sales/CommissionModel?:embed=yRemarque : lorsque la protection contre le détournement des clics est activée, il peut arriver que les vues intégrées utilisant l’URL copiée depuis la barre d’adresses du navigateur ne se chargent pas. Ces URL de vue qui contiennent généralement le signe dièse (
#) après le nom du serveur (par exemplehttp://myserver/#/views/Sales/CommissionModel?:embed=y) sont bloquées lorsque la protection contre le détournement de clics est activée dans Tableau Server.
Désactivation de la protection contre le détournement de clics
Vous devez laisser la protection contre le détournement de clics activée, à moins qu’elle n’ait un impact sur l’utilisation de Tableau Server. Si vous voulez désactiver la protection contre le détournement de clics, utilisez les commandes tsm suivantes :
tsm configuration set -k wgserver.clickjack_defense.enabled -v false
tsm pending-changes apply
Si les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes applyaffichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.