Intestazioni di risposta HTTP
Tableau Server supporta alcune delle intestazioni di risposta specificate nel sito Web del progetto OWASP(Il collegamento viene aperto in una nuova finestra).
In questo argomento è descritto come configurare le seguenti intestazioni di risposta su Tableau Server:
- HSTS (HTTP Strict Transport Security)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
Tableau Server supporta anche lo standard CSP (Content Security Policy). La configurazione dello standard CSP non è trattata in questo argomento. Consulta Criteri di sicurezza del contenuto.
Configurazione delle intestazioni
Tutte le intestazioni di risposta sono configurate con il comando tsm configuration set.
Al termine della configurazione delle intestazioni di risposta, esegui tsm pending-changes apply.
Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply
visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt
, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.
HSTS (HTTP Strict Transport Security)
L’intestazione HSTS obbliga i client che si connettono a Tableau Server utilizzare il protocollo HTTPS. Per ulteriori informazioni, consulta la voce sul sito Web del progetto OWASP, HTTP Strict Transport Security (HSTS)(Il collegamento viene aperto in una nuova finestra).
Opzioni
gateway.http.hsts
Valore predefinito: false
L’intestazione HSTS (HTTP Strict Transport Security) impone ai browser l’utilizzo di HTTPS nel dominio in cui è abilitata.
gateway.http.hsts_options
Valore predefinito: "max-age=31536000"
Per impostazione predefinita, la politica HSTS è fissata per un anno (31536000 secondi). Questo periodo di tempo specifica la quantità di tempo in cui il browser accederà al server tramite HTTPS.
Referrer-Policy
A partire dalla versione 2019.2, Tableau Server include la possibilità di configurare il comportamento dell’intestazione HTTP del criterio Referrer-Policy. Questo criterio è abilitato con un comportamento predefinito che includerà l’URL di origine per tutte le connessioni "sicure" (criterio no-referrer-when-downgrade
). Nelle versioni precedenti, l’intestazione Referrer-Policy non era inclusa nelle risposte inviate da Tableau Server. Per ulteriori informazioni sulle varie opzioni di criterio supportate da Referrer-Policy, consulta la voce sul sito Web del progetto OWASP, Referrer-Policy(Il collegamento viene aperto in una nuova finestra).
Opzioni
gateway.http.referrer_policy_enabled
Valore predefinito: true
Per escludere l’intestazione Referrer-Policy dalle risposte inviate da Tableau Server, imposta questo valore su false
.
gateway.http.referrer_policy
Valore predefinito: no-referrer-when-downgrade
Questa opzione definisce il criterio del referrer per Tableau Server. Puoi specificare una qualsiasi delle stringhe di valori del criterio elencate nella tabella Referrer-Policy(Il collegamento viene aperto in una nuova finestra) nella pagina Web del progetto OWASP.
X-Content-Type-Options
L’intestazione HTTP di risposta X-Content-Type-Options specifica che il tipo MIME nell’intestazione Content-Type non deve essere modificato dal browser. In alcuni casi, se il tipo MIME non è specificato, un browser potrebbe tentare di determinare il tipo MIME valutando le caratteristiche del payload. Il browser mostrerà quindi il contenuto di conseguenza. Questo processo viene definito "sniffing". Un’errata interpretazione del tipo MIME può causare problemi di sicurezza.
Per ulteriori informazioni, consulta la voce sul sito Web del progetto OWASP, X-Content-Type-Options(Il collegamento viene aperto in una nuova finestra).
Opzione
gateway.http.x_content_type_nosniff
Valore predefinito: true
Con questa opzione, l’intestazione HTTP X-Content-Type-Options è impostata su 'nosniff' per impostazione predefinita.
X-XSS-Protection
L’intestazione di risposta HTTP X-XSS-Protection viene inviata al browser per consentire la protezione cross-site scripting (XSS). L’intestazione di risposta X-XSS-Protection ignora le configurazioni quando gli utenti hanno disabilitato la protezione XXS nel browser.
Per ulteriori informazioni, consulta la voce sul sito Web del progetto OWASP, X-XSS-Protection(Il collegamento viene aperto in una nuova finestra).
Opzione
gateway.http.x_xss_protection
Valore predefinito: true
L’intestazione di risposta X-XSS-Protection è abilitata per impostazione predefinita con questa opzione.