HTTP 응답 헤더
Tableau Server는 OWASP 보안 헤더 프로젝트(링크가 새 창에서 열림)에 지정된 응답 헤더 중 일부를 지원합니다.
이 항목에서는 Tableau Server에서 다음과 같은 응답 헤더를 구성하는 방법에 대해 설명합니다.
- HSTS(HTTP Strict Transport Security)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
Tableau Server는 CSP(콘텐츠 보안 정책) 표준도 지원합니다. CSP 구성은 이 항목에서 다루지 않습니다. 자세한 내용은 콘텐츠 보안 정책을 참조하십시오.
응답 헤더 구성
모든 응답 헤더는 tsm configuration set 명령으로 구성됩니다.
응답 헤더 구성을 마쳤으면 tsm pending-changes apply를 실행합니다.
보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply
명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt
옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.
HSTS(HTTP Strict Transport Security)
HSTS는 Tableau Server에 연결하는 클라이언트가 HTTPS를 사용하여 연결하도록 요구합니다. 자세한 내용은 OWASP 항목 HSTS(HTTP Strict Transport Security)(링크가 새 창에서 열림)를 참조하십시오.
옵션
gateway.http.hsts
기본값: false
HSTS(HTTP Strict Transport Security) 헤더가 있으면 HTTPS를 사용하도록 설정된 도메인에서 브라우저가 HTTPS를 사용합니다.
gateway.http.hsts_options
기본값: "max-age=31536000"
기본적으로 HSTS 정책은 1년(31536000초) 동안 설정됩니다. 이 기간은 브라우저가 HTTPS를 통해 서버에 액세스하는 시간을 지정합니다.
Referrer-Policy
2019.2부터 Tableau Server에는 Referrer-Policy HTTP 헤더 동작을 구성하는 기능이 포함되어 있습니다. 이 정책은 모든 "보안" 연결에 대한 원본 URL을 포함하는 기본 동작에서 사용하도록 설정됩니다(no-referrer-when-downgrade
정책). 이전 버전에서는 Referrer-Policy 헤더가 Tableau Server가 전송하는 응답에 포함되지 않았습니다. Referrer-Policy가 지원하는 다양한 정책 옵션에 대한 자세한 내용은 OWASP 항목 Referrer-Policy(링크가 새 창에서 열림)를 참조하십시오.
옵션
gateway.http.referrer_policy_enabled
기본값: true
Tableau Server가 전송한 응답에서 Referrer-Policy 헤더를 제외하려면 이 값을 false
로 설정하십시오.
gateway.http.referrer_policy
기본값: no-referrer-when-downgrade
이 옵션은 Tableau Server에 대한 리퍼러 정책을 정의합니다. OWASP 페이지의 Referrer-Policy(링크가 새 창에서 열림) 테이블에 나열된 정책 값 문자열 중 하나를 지정할 수 있습니다.
X-Content-Type-Options
X-Content-Type-Options 응답 HTTP 헤더는 Content-Type 헤더의 MIME 유형이 브라우저에 의해 변경되지 않도록 지정합니다. MIME 유형이 지정되지 않은 경우에는 브라우저가 페이로드 특성을 평가하여 MIME 유형을 결정하려고 시도할 수 있습니다. 그런 다음 결과에 따라 콘텐츠를 표시합니다. 이 프로세스를 "스니핑"이라고 합니다. MIME 유형을 잘못 해석하면 보안 취약점이 발생할 수 있습니다.
자세한 내용은 OWASP 항목 X-Content-Type-Options(링크가 새 창에서 열림)를 참조하십시오.
옵션
gateway.http.x_content_type_nosniff
기본값: true
이 옵션을 사용하면 X-Content-Type-Options HTTP 헤더가 기본적으로 'nosniff'로 설정됩니다.
X-XSS-Protection
HTTP X-XSS-Protection 응답 헤더가 브라우저로 전송되어 XSS(사이트 간 스크립팅) 보호 기능을 사용하도록 설정합니다. 사용자가 브라우저에서 XXS 보호 기능을 해제한 경우 X-XSS-Protection 응답 헤더가 구성을 재정의합니다.
자세한 내용은 OWASP 항목 X-XSS-Protection(링크가 새 창에서 열림)을 참조하십시오.
옵션
gateway.http.x_xss_protection
기본값: true
이 옵션을 사용하면 X-XSS-Protection 응답 헤더가 기본적으로 사용되도록 설정됩니다.