Cabeçalhos de resposta HTTP

O Tableau Server suporta alguns dos cabeçalhos de resposta especificados no OWASP Secure Headers Project(O link abre em nova janela).

Este tópico descreve como configurar os seguintes cabeçalhos de resposta para o Tableau Server:

  • HTTP Strict Transport Security (HSTS)
  • Referrer-Policy
  • X-Content-Type-Options
  • X-XSS-Protection

O Tableau Server também oferece suporte ao padrão da Política de segurança de conteúdo (CSP). A configuração da CSP não é abordada neste tópico. Consulte Política de segurança de conteúdo.

Configuração dos cabeçalhos de resposta

Todos os cabeçalhos de resposta são configurados com o comando tsm configuration set.

Ao concluir a configuração dos cabeçalhos de resposta, execute tsm pending-changes apply.

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

HTTP Strict Transport Security (HSTS)

O HSTS força a conexão dos clientes ao Tableau Server para se conectarem com HTTPS. Para obter mais informações, consulte a entrada da OWASP, HTTP Strict Transport Security (HSTS)(O link abre em nova janela).

Opções

gateway.http.hsts

Valor padrão: false

O cabeçalho do HTTP Strict Transport Security (HSTS) força os navegadores a usarem o HTTPS no domínio onde ele está habilitado.

gateway.http.hsts_options

Valor padrão: "max-age=31536000"

Por padrão, a política do HSTS está definida para um ano (31536000 segundos). Este período especifica o tempo em que o navegador acessará o servidor por meio do HTTPS.

Referrer-Policy

A partir da versão 2019.2, o Tableau Server inclui a capacidade de configurar o comportamento do cabeçalho HTTP Referrer-Policy. Essa política é habilitada com um comportamento padrão que incluirá a URL de origem de todas as conexões "seguras como" (política no-referrer-when-downgrade). Nas versões anteriores, o cabeçalho Referrer-Policy não foi incluído nas respostas enviadas pelo Tableau Server. Para obter mais informações sobre as várias opções de política compatíveis com o Referrer-Policy, consulte a entrada da OWASP, Referrer-Policy(O link abre em nova janela).

Opções

gateway.http.referrer_policy_enabled

Valor padrão: true

Para excluir o cabeçalho Referrer-Policy das respostas enviadas pelo Tableau Server, defina esse valor como false.

gateway.http.referrer_policy

Valor padrão: no-referrer-when-downgrade

Esta opção define o referrer-policy para o Tableau Server. Você pode especificar qualquer uma das cadeias de caracteres de valor da política listadas na tabela Referrer-Policy(O link abre em nova janela) na página da OWASP.

X-Content-Type-Options

O cabeçalho de resposta X-Content-Type-Options do HTTP especifica que o tipo de MIME no cabeçalho Content-Type não deve ser alterado pelo navegador. Em alguns casos, onde o tipo de MIME não está especificado, o navegador pode tentar determiná-lo, avaliando as características da carga útil. O navegador exibirá o conteúdo em conformidade. Este processo é denominado "detecção". A interpretação errada do tipo de MIME pode levar à vulnerabilidades na segurança.

Para obter mais informações, consulte a entrada da OWASP, X-Content-Type-Options(O link abre em nova janela).

Opção

gateway.http.x_content_type_nosniff

Valor padrão: true

Com essa opção, o cabeçalho X-Content-Type-Options do HTTP é definido, por padrão, como "não detecção".

X-XSS-Protection

O cabeçalho de resposta HTTP X-XSS-Protection é enviado para o navegador para habilitar a proteção de scripts entre sites (XSS). O cabeçalho de resposta X-XSS-Protection substitui as configurações nos casos em que os usuários desabilitaram a proteção XSS no navegador.

Para obter mais informações, consulte a entrada da OWASP, X-XSS-Protection(O link abre em nova janela).

Opção

gateway.http.x_xss_protection

Valor padrão: true

Com essa opção, o cabeçalho de resposta X-XSS-Protection está habilitado por padrão.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!