HTTP-responskopteksten

Tableau Server ondersteunt enkele van de responskopteksten die zijn gespecificeerd in het OWASP Secure Headers-project(Link wordt in een nieuw venster geopend).

In dit onderwerp wordt beschreven hoe u de volgende responskopteksten configureert voor Tableau Server:

  • HTTP Strict Transport Security (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

Tableau Server ondersteunt ook de CSP-standaard (Content Security Policy). CSP-configuratie wordt in dit onderwerp niet behandeld. Zie Content Security Policy (CSP).

Responskopteksten configureren

Alle responskopteksten worden geconfigureerd met de opdracht tsm configuration set.

Wanneer u klaar bent met het configureren van de responskopteksten, voert u het volgende uit: tsm pending-changes apply.

Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

HTTP Strict Transport Security (HSTS)

HSTS dwingt clients af om via HTTPS verbinding te maken met Tableau Server. Zie het OWASP-item HTTP Strict Transport Security (HSTS)(Link wordt in een nieuw venster geopend) voor meer informatie.

Opties

gateway.http.hsts

Standaardwaarde: false

De koptekst HTTP Strict Transport Security (HSTS) dwingt browsers om HTTPS te gebruiken op het domein waar dit is ingeschakeld.

gateway.http.hsts_options

Standaardwaarde: "max-age=31536000"

Standaard is het HSTS-beleid ingesteld op één jaar (31.536.000 seconden). Deze tijdsperiode geeft de hoeveelheid tijd aan waarin de browser via HTTPS toegang krijgt tot de server.

Referrer-Policy

Vanaf 2019.2 biedt Tableau Server de mogelijkheid om het gedrag van HTTP-kopteksten voor het 'referrer'-verwijzingsbeleid te configureren. Dit beleid is ingeschakeld met een standaardgedrag dat de oorspronkelijke URL voor alle 'beveiligd als'-verbindingen zal bevatten (beleid no-referrer-when-downgrade). In eerdere versies werd de Referrer-Policy-koptekst niet opgenomen in de antwoorden die door Tableau Server werden verzonden. Zie het OWASP-item Referrer-Policy(Link wordt in een nieuw venster geopend) voor meer informatie over de verschillende beleidsopties die Referrer-Policy ondersteunt.

Opties

gateway.http.referrer_policy_enabled

Standaardwaarde: true

Om de Referrer-Policy-koptekst uit te sluiten van reacties die door Tableau Server worden verzonden, stelt u deze waarde in op false.

gateway.http.referrer_policy

Standaardwaarde: no-referrer-when-downgrade

Met deze optie definieert u het verwijzingsbeleid voor Tableau Server. U kunt elke tekenreeks voor beleidswaarden opgeven die in de tabel Referrer-Policy(Link wordt in een nieuw venster geopend) op de OWASP-pagina staan.

X-Content-Type-Options

De HTTP-koptekst van de reactie X-Content-Type-Options geeft aan dat het MIME-type in de koptekst Content-Type niet door de browser mag worden gewijzigd. In sommige gevallen, waarin het MIME-type niet is opgegeven, kan een browser proberen het MIME-type te bepalen door de kenmerken van de lading te evalueren. De browser zal de inhoud dan overeenkomstig weergeven. Dit proces wordt 'sniffing' genoemd. Een verkeerde interpretatie van het MIME-type kan leiden tot beveiligingsproblemen.

Zie het OWASP-item X-Content-Type-Options(Link wordt in een nieuw venster geopend) voor meer informatie.

Optie

gateway.http.x_content_type_nosniff

Standaardwaarde: true

De HTTP-koptekst X-Content-Type-Options is bij deze optie standaard ingesteld op 'nosniff'.

X-XSS-Protection

De responskoptekst HTTP X-XSS-Protection wordt naar de browser verzonden om beveiliging voor cross-site scripting (XSS) in te schakelen. De responskoptekst X-XSS-Protection overschrijft configuraties in gevallen waarin gebruikers XXS-beveiliging in hun browser hebben uitgeschakeld.

Zie het OWASP-item X-XSS-Protection(Link wordt in een nieuw venster geopend) voor meer informatie.

Optie

gateway.http.x_xss_protection

Standaardwaarde: true

De responskoptekst X-XSS-Protection is bij deze optie standaard ingeschakeld.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.