Bescherming tegen clickjacking

Tableau Server biedt bescherming tegen clickjacking-aanvallen. Clickjacking is een type aanval op webpagina's waarbij de aanvaller gebruikers probeert te verleiden om op inhoud te klikken of deze in te voeren, door de aan te vallen pagina weer te geven in een transparante laag over een niet-gerelateerde pagina. In de context van Tableau Server kan een aanvaller proberen een clickjacking-aanval te gebruiken om gebruikersreferenties vast te leggen of om een geverifieerde gebruiker ertoe te brengen de instellingen op uw server te wijzigen. Zie Clickjacking(Link wordt in een nieuw venster geopend) op de website van het Open Web Application Security Project voor meer informatie over clickjacking-aanvallen.

Opmerking: bescherming tegen clickjacking was beschikbaar in eerdere versies van Tableau Server, maar was standaard uitgeschakeld. Bij nieuwe installaties van Tableau Server 9.1 en hoger is de bescherming tegen clickjacking altijd ingeschakeld, tenzij u deze expliciet uitschakelt.

Effecten van bescherming tegen clickjacking

Wanneer bescherming tegen clickjacking is ingeschakeld op Tableau Server, verandert het gedrag van pagina's die worden geladen vanuit Tableau Server op de volgende manieren:

  • Tableau Server voegt de koptekst X-Frame-Options: SAMEORIGIN toe bij bepaalde reacties van de server. In de huidige versies van de meeste browsers voorkomt deze koptekst dat de inhoud in het element <iframe> wordt geladen, wat clickjacking-aanvallen helpt voorkomen.

  • De pagina op het hoogste niveau van Tableau Server kan niet worden geladen in de elementen <iframe>. Dit omvat de aanmeldingspagina. Eén gevolg is dat u geen Tableau Server-pagina's kunt hosten in een applicatie die u maakt.

  • Alleen weergaven kunnen worden ingesloten.

  • Als voor een ingesloten weergave referenties voor een databron vereist zijn, wordt er een bericht weergegeven in het element <iframe> met een link om de weergave te openen in een beveiligd venster waar de gebruiker veilig referenties kan invoeren. Gebruikers moeten altijd het adres van het geopende venster verifiëren voordat ze hun referenties invoeren.

  • Weergaven kunnen alleen worden geladen als ze de parameter :embed=y in de queryreeks bevatten, zoals in dit voorbeeld:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Opmerking: wanneer bescherming tegen clickjacking is ingeschakeld, worden ingesloten weergaven die de URL uit de adresbalk van de browser gebruiken mogelijk niet geladen. Deze weergave-URL's bevatten meestal het hash-symbool (#) achter de servernaam (bijvoorbeeld http://myserver/#/views/Sales/CommissionModel?:embed=y) en worden geblokkeerd wanneer bescherming tegen clickjacking is ingeschakeld op Tableau Server.

Bescherming tegen clickjacking uitschakelen

U moet de bescherming tegen clickjacking ingeschakeld laten, tenzij deze van invloed is op de manier waarop uw gebruikers met Tableau Server werken. Als u de bescherming tegen clickjacking wilt uitschakelen, gebruikt u de volgende opdrachten tsm:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.