Cabeçalhos de resposta HTTP
O Tableau Server suporta alguns dos cabeçalhos de resposta especificados no OWASP Secure Headers Project(O link abre em nova janela).
Este tópico descreve como configurar os seguintes cabeçalhos de resposta para o Tableau Server:
- HTTP Strict Transport Security (HSTS)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
O Tableau Server também oferece suporte ao padrão da Política de segurança de conteúdo (CSP). A configuração da CSP não é abordada neste tópico. Consulte Política de segurança de conteúdo.
Configuração dos cabeçalhos de resposta
Todos os cabeçalhos de resposta são configurados com o comando tsm configuration set.
Ao concluir a configuração dos cabeçalhos de resposta, execute tsm pending-changes apply.
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
HTTP Strict Transport Security (HSTS)
O HSTS força a conexão dos clientes ao Tableau Server para se conectarem com HTTPS. Para obter mais informações, consulte a entrada da OWASP, HTTP Strict Transport Security (HSTS)(O link abre em nova janela).
Opções
gateway.http.hsts
Valor padrão: false
O cabeçalho do HTTP Strict Transport Security (HSTS) força os navegadores a usarem o HTTPS no domínio onde ele está habilitado.
gateway.http.hsts_options
Valor padrão: "max-age=31536000"
Por padrão, a política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTPS.
Referrer-Policy
A partir da versão 2019.2, o Tableau Server inclui a capacidade de configurar o comportamento do cabeçalho HTTP Referrer-Policy. Essa política é habilitada com um comportamento padrão que incluirá a URL de origem de todas as conexões "seguras como" (política no-referrer-when-downgrade
). Nas versões anteriores, o cabeçalho Referrer-Policy não foi incluído nas respostas enviadas pelo Tableau Server. Para obter mais informações sobre as várias opções de política compatíveis com o Referrer-Policy, consulte a entrada da OWASP, Referrer-Policy(O link abre em nova janela).
Opções
gateway.http.referrer_policy_enabled
Valor padrão: true
Para excluir o cabeçalho Referrer-Policy das respostas enviadas pelo Tableau Server, defina esse valor como false
.
gateway.http.referrer_policy
Valor padrão: no-referrer-when-downgrade
Esta opção define o referrer-policy para o Tableau Server. Você pode especificar qualquer uma das cadeias de caracteres de valor da política listadas na tabela Referrer-Policy(O link abre em nova janela) na página da OWASP.
X-Content-Type-Options
O cabeçalho de resposta X-Content-Type-Options do HTTP especifica que o tipo de MIME no cabeçalho Content-Type não deve ser alterado pelo navegador. Em alguns casos, onde o tipo de MIME não está especificado, o navegador pode tentar determiná-lo, avaliando as características da carga útil. O navegador exibirá o conteúdo em conformidade. Este processo é denominado "detecção". A interpretação errada do tipo de MIME pode levar à vulnerabilidades na segurança.
Para obter mais informações, consulte a entrada da OWASP, X-Content-Type-Options(O link abre em nova janela).
Opção
gateway.http.x_content_type_nosniff
Valor padrão: true
Com essa opção, o cabeçalho X-Content-Type-Options do HTTP é definido, por padrão, como "não detecção".
X-XSS-Protection
O cabeçalho de resposta HTTP X-XSS-Protection é enviado para o navegador para habilitar a proteção de scripts entre sites (XSS). O cabeçalho de resposta X-XSS-Protection substitui as configurações nos casos em que os usuários desabilitaram a proteção XSS no navegador.
Para obter mais informações, consulte a entrada da OWASP, X-XSS-Protection(O link abre em nova janela).
Opção
gateway.http.x_xss_protection
Valor padrão: true
Com essa opção, o cabeçalho de resposta X-XSS-Protection está habilitado por padrão.