Proteção contra roubo de clique

A proteção contra ataques de roubos de clique é incluída no Tableau Server. Roubo de clique é um tipo de ataque contra as páginas da Web, nos quais o invasor tenta fazer com que os usuários cliquem ou entrem em um conteúdo, ao exibirem a página de ataque em uma camada transparente sobre uma página não relacionada. No contexto do Tableau Server, um invasor pode tentar usar um ataque de roubo de clique para capturar as credenciais do usuário ou fazer com que o usuário altere as configurações no seu servidor. Para obter mais informações sobre os ataques de roubo de clique, consulte Clickjacking(O link abre em nova janela) no site Open Web Application Security Project.

Observação: a proteção contra roubo de clique foi disponibilizada nas versões anteriores do Tableau Server, porém estava desativada como padrão. Novas instalações do Tableau Server 9.1 e versões posteriores sempre terão a proteção contra roubo de clique, a menos que você a desative.

Efeito da proteção contra roubo de clique

Quando a proteção contra roubo de clique estiver habilitada no Tableau Server, o comportamento das páginas carregadas do Tableau Server se altera da seguinte maneira:

  • O Tableau Server adiciona o cabeçalho X-Frame-Options: SAMEORIGIN a determinadas respostas do servidor. Nas versões atuais da maioria dos navegadores, esse cabeçalho evita que o conteúdo seja carregado para um elemento <iframe>, ajudando a evitar ataques de proteção contra roubo de cliques.

  • A página de nível superior do Tableau Server não pode ser carregada nos elementos <iframe>. Isso inclui a página de entrada. Uma consequência é que você não pode hospedar as páginas do Tableau Server em um aplicativo que você criou.

  • Somente as visualizações podem ser inseridas.

  • Se uma exibição inserida exigir as credenciais de fonte de dados, uma mensagem é exibida no elemento <iframe> com um link para abrir a exibição em uma janela segura, onde o usuário pode inserir com segurança as credenciais. Os usuários devem verificar sempre o endereço da janela aberta antes de inserir as credenciais.

  • As exibições podem ser carregadas somente se incluírem o parâmetro :embed=y na cadeia de caracteres de consulta, como nesse exemplo:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Observação: quando a proteção contra roubo de cliques está habilitada, as exibições inseridas que usam a URL copiada da barra de endereços do navegador talvez não sejam carregadas. Normalmente, essas URLs de exibição contêm o símbolo de hash (#) após o nome do servidor (por exemplo, http://myserver/#/views/Sales/CommissionModel?:embed=y) e são bloqueadas quando a proteção contra roubo de cliques está habilitada no Tableau Server.

Desabilitar a proteção contra roubo de clique

Você deve manter a proteção contra roubo de clique habilitada, a menos que esteja afetando como os seus usuários trabalham com o Tableau Server. Se deseja desativar a proteção contra roubo de clique, use os seguintes comandos tsm:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!