HTTP 応答ヘッダー

Tableau Server では、OWASP Secure Code Project(新しいウィンドウでリンクが開く) で仕様が作成された応答ヘッダーの一部がサポートされています。

このトピックでは、次の応答ヘッダーを Tableau Server 用に構成する方法について説明します。

  • HTTP Strict Transport Security (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

Tableau Server では、コンテンツ セキュリティ ポリシー (CSP) 標準もサポートされています。CSP の構成については、このトピックでは説明しません。コンテンツ セキュリティ ポリシーを参照してください。

応答ヘッダーの構成

応答ヘッダーはすべて、tsm configuration set コマンドを使用して構成します。

応答ヘッダーの構成が完了したら、tsm pending-changes apply を実行します。

保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

HTTP Strict Transport Security (HSTS)

HSTS は、Tableau Server に接続するクライアントに HTTPS 接続を強制するものです。詳細については、OWASP の「HTTP Strict Transport Security (HSTS)」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

gateway.http.hsts

既定値: false

HTTP Strict Transport Security (HSTS) ヘッダーによって、有効になっているドメインの HTTPS がブラウザで強制的に使用されます。

gateway.http.hsts_options

既定値: "max-age=31536000"

既定では、HSTS ポリシーが 1 年に設定されています (31536000 秒)。ブラウザが HTTPS 経由でサーバーにアクセスする期間を指定します。

Referrer-Policy

2019.2 から、Tableau Server には Referrer-Policy HTTP ヘッダーの動作を構成する機能が含まれています。このポリシーは、すべての "secure as" 接続で起点の URL を含める既定の動作 (ポリシー no-referrer-when-downgrade) を指定して有効になっています。以前のバージョンでは、Referrer-Policy ヘッダーは Tableau Server から送信された応答に含まれていませんでした。Referrer-Policy がサポートする様々なポリシー オプションの詳細については、OWASP の「Referrer-Policy」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

gateway.http.referrer_policy_enabled

既定値: true

Tableau Server から送信される応答から Referrer-Policy ヘッダーを除外するには、この値を false に設定します。

gateway.http.referrer_policy

既定値: no-referrer-when-downgrade

このオプションでは、Tableau Server の参照元に関するポリシーを定義します。OWASP ページの Referrer-Policy(新しいウィンドウでリンクが開く) の表に記載されている任意のポリシー値文字列を指定できます。

X-Content-Type-Options

X-Content-Type-Options の応答 HTTP ヘッダーによって、Content-Type ヘッダーの MIME タイプがブラウザで変更されないように指定されます。MIME タイプが指定されていない場合、ブラウザではペイロードの特性を評価して MIME タイプを判断しようとすることがあります。次に、ブラウザにコンテンツが表示されます。このプロセスは「スニッフィング」と呼ばれます。MIME タイプを誤って解釈すると、セキュリティの脆弱性を招く恐れがあります。

詳細については、OWASP の「X-Content-Type-Options」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

gateway.http.x_content_type_nosniff

既定値: true

X-Content-Type-Options HTTP ヘッダーは、既定でこのオプションを使用して 'nosniff' に設定されます。

X-XSS-Protection

HTTP X-XSS-Protection 応答ヘッダーがブラウザに送信され、クロスサイト スクリプティング (XSS) 保護が有効になります。X-XSS-Protection 応答ヘッダーは、ユーザーがブラウザで XXS 保護を無効にした場合に構成を上書きします。

詳細については、OWASP の「X-XSS-Protection」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

gateway.http.x_xss_protection

既定値: true

既定では、X-XSS-Protection 応答ヘッダーがこのオプションを使用して有効になります。

このセクションの他の記事

ありがとうございます!