En-têtes de réponse HTTP

Tableau Server prend en charge certains des en-têtes de réponse spécifiés dans le projet En-têtes sécurisés de l’OWASP(Le lien s’ouvre dans une nouvelle fenêtre).

Cette rubrique explique comment configurer les en-têtes de réponse suivants pour Tableau Server :

  • HTTP Strict Transport Security (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

Tableau Server prend également en charge la norme CSP (Content Security Policy). La configuration de la norme CSP n’est pas décrite dans cette rubrique. Consultez Stratégie de sécurité du contenu .

Configuration des en-têtes de réponse

Tous les en-têtes de réponse sont configurés avec la commande tsm configuration set.

Une fois que vous avez fini de configurer les en-têtes de réponse, exécutez tsm pending-changes apply.

Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.

HTTP Strict Transport Security (HSTS)

HSTS oblige les clients qui se connectent à Tableau Server à se connecter via HTTPS. Pour plus d’informations, consultez l’entrée OWASP HTTP Strict Transport Security (HSTS)(Le lien s’ouvre dans une nouvelle fenêtre).

Options

gateway.http.hsts

Valeur par défaut : false

L’en-tête HTTP Strict Transport Security (HSTS) force les navigateurs à utiliser HTTPS sur le domaine où il est activé.

gateway.http.hsts_options

Valeur par défaut : "max-age=31536000"

Par défaut, la stratégie HSTS est configurée pour une année (31 536 000 secondes). Cette période spécifie la durée pendant laquelle le navigateur accédera au serveur via HTTPS.

Referrer-Policy

Depuis 2019.2, Tableau Server inclut la possibilité de configurer le comportement de l’en-tête HTTP Referrer-Policy. Cette stratégie est activée avec un comportement par défaut qui inclut l’URL d’origine pour toutes les connexions « secure as » (no-referrer-when-downgrade). Dans les versions précédentes, l’en-tête Referrer-Policy n’était pas inclus dans les réponses envoyées par Tableau Server. Pour plus d’informations sur les différentes options de stratégie prises en charge par Referrer-Policy, consultez l’entrée OWASP Referrer-Policy(Le lien s’ouvre dans une nouvelle fenêtre).

Options

gateway.http.referrer_policy_enabled

Valeur par défaut : true

Pour exclure l’en-tête Referrer-Policy des réponses envoyées par Tableau Server, définissez cette valeur sur false.

gateway.http.referrer_policy

Valeur par défaut : no-referrer-when-downgrade

Cette option définit la stratégie de référent pour Tableau Server. Vous pouvez spécifier n’importe laquelle des chaînes de valeur de police listées dans le tableau Referrer-Policy(Le lien s’ouvre dans une nouvelle fenêtre) sur la page OWASP.

X-Content-Type-Options

L’en-tête HTTP de réponse X-Content-Type-Options spécifie que le type MIME dans l’en-tête Content-Type ne devrait pas être modifié par le navigateur. Dans certains cas où le type MIME n’est pas spécifié, un navigateur peut tenter de déterminer le type MIME en évaluant les caractéristiques de la charge active. Le navigateur affiche alors le contenu en conséquence. Ce processus est appelé « sniffing » (détection). L’interprétation erronée du type MIME peut générer des vulnérabilités de sécurité.

Pour plus d’informations, consultez l’entrée OWASP X-Content-Type-Options(Le lien s’ouvre dans une nouvelle fenêtre).

Option

gateway.http.x_content_type_nosniff

Valeur par défaut : true

L’en-tête HTTP X-Content-Type-Options est défini par défaut sur « nosniff » avec cette option.

X-XSS-Protection

L’en-tête de réponse HTTP X-XSS-Protection est envoyé au navigateur afin d’activer la protection XSS (scripts inter-sites). L’en-tête de réponse X-XSS-Protection écrase les configurations dans les cas où les utilisateurs ont désactivé la protection XXS dans le navigateur.

Pour plus d’informations, consultez l’entrée OWASP X-XSS-Protection(Le lien s’ouvre dans une nouvelle fenêtre).

Option

gateway.http.x_xss_protection

Valeur par défaut : true

L’en-tête de réponse X-XSS-Protection est activé par défaut avec cette option.

Merci de vos commentaires !Avis correctement envoyé. Merci