Protezione contro il clickjacking

Tableau Server include protezione contro gli attacchi clickjack. Il clickjacking è un tipo di attacco alle pagine Web in cui l'utente malintenzionato cerca di attrarre i normali utenti affinché facciano clic o inseriscano contenuti, visualizzando la pagina che intende attaccare in un livello trasparente applicato al di sopra di una pagina non correlata. Nel contesto di Tableau Server, un aggressore potrebbe tentare di usare un attacco clickjack per catturare le credenziali dell'utente o per ottenere l'autenticazione di un utente per modificare le impostazioni sul tuo server. Per maggiori informazioni sugli attacchi di clickjacking, consulta Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

Nota: la protezione contro il clickjacking era disponibile nelle versioni precedenti di Tableau Server, ma è stata disabilitata per impostazione predefinita. Le nuove installazioni di Tableau Server 9.1 e successive disporranno sempre della protezione contro il clickjacking, a meno che non la disabiliti esplicitamente.

Effetti della protezione contro il clickjacking

Quando attivi la protezione conto il clickjacking su Tableau Server, il comportamento delle pagine caricate da Tableau Server cambia nei seguenti modi:

  • Tableau Server aggiunge l’intestazione X-Frame-Options: SAMEORIGIN a determinate risposte del server. Nelle versioni correnti della maggior parte dei browser, questa intestazione impedisce che il contenuto venga caricato in un elemento <iframe> che contribuisce a impedire attacchi di clickjacking.

  • La pagina di primo livello di Tableau Server non può essere caricata in elementi <iframe>. Questo include la pagina di accesso. Una delle conseguenze è che non puoi ospitare pagine di Tableau Server in un'applicazione creata dall'utente.

  • Puoi incorporare solo le viste.

  • Se una vista incorporata richiede le credenziali di origine dati, viene visualizzato un messaggio nell'elemento <iframe> con un link per aprire la vista in una finestra sicura dove l'utente può inserire le credenziali in tutta sicurezza. Gli utenti devono sempre verificare l'indirizzo della finestra aperta prima di immettere le credenziali.

  • Le viste possono essere caricate solo se includono il parametro :embed=y nella stringa di query, come in questo esempio:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Nota: quando è attivata la protezione contro il clickjacking, le viste incorporate che utilizzano l'URL copiato dalla barra degli indirizzi del browser potrebbero non essere caricate. Questi URL di solito contengono il simbolo hash (#) dopo il nome del server (ad esempio http://myserver/#/views/Sales/CommissionModel?:embed=y, ) è bloccato quando la protezione contro il clickjacking è abilitata su Tableau Server.

Disattivare la protezione contro il clickjacking

Dovresti lasciare la protezione contro il clickjacking abilitata a meno che non influenzi il modo in cui i tuoi utenti lavorano con Tableau Server. Se desideri disattivare la protezione contro il clickjacking, utilizza i comandi seguenti tsm:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l'opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per ulteriori informazioni, consulta il paragrafo tsm pending-changes apply.

Grazie per il tuo feedback.