Skydd mot klickkapning

Tableau Server innehåller skydd mot klickkapningsattacker. Klickkapning är en typ av attacker mot webbsidor där angriparna försöker lura användarna att klicka på eller skriva in innehåll genom att visa en sida i ett genomskinligt lager ovanpå en orelaterad sida. I Tableau Server-sammanhang kan en angripare försöka använda klickkapning för att samla in användarautentiseringsuppgifter eller för att få en autentiserad användare att ändra inställningarna på din server. Mer information om klickkapning finns på sidan om klickkapning(Länken öppnas i ett nytt fönster) på OWASP:s webbplats (Open Web Application Security Project).

Obs! Klickkapningsskydd har funnits i tidigare versioner av Tableau Server, men var inaktiverat som standard. Nya installationer av Tableau Server 9.1 och senare har alltid klickkapningsskydd aktiverat såvida du inte uttryckligen inaktiverar det.

Klickkapningsskyddets effekter

När klickkapningsskydd är aktiverat på Tableau Server ändras beteendet för de sidor som lästs in från Tableau Server på följande sätt:

  • Tableau Server lägger till rubriken X-Frame-Options: SAMEORIGIN till vissa svar från servern. I de flesta webbläsares aktuella versioner förhindrar den här rubriken innehållet från att läsas in i ett <iframe>-element, vilket bidrar till att förhindra klickkapningsattacker.

  • Tableau Server-toppnivåsidan kan inte läsas in i <iframe>-element. Detta inkluderar inloggningssidan. En konsekvens av detta är att du inte kan vara värd för Tableau Server-sidor i ett program som du skapar.

  • Endast vyer kan bäddas in.

  • Om en inbäddad vy kräver autentiseringsuppgifter för en datakälla visas ett meddelande i elementet <iframe> med en länk genom vilken du kan öppna vyn i ett säkert fönster där användaren säkert kan ange autentiseringsuppgifterna. Användare ska alltid verifiera det öppnade fönstrets adress innan de anger sina autentiseringsuppgifter.

  • Vyer kan enbart läsas in om de inkluderar parametern :embed=y i frågesträngen, så som i det här exemplet:

    http://<server>/views/Sales/CommissionModel?:embed=y

    Obs! När klickkapningsskydd är aktiverat kanske inte inbäddade vyer som använder den URL som kopierats från webbläsarens adressfält läses in. Dessa vyadresser innehåller ofta hash-tecknet (#) efter servernamnet (http://myserver/#/views/Sales/CommissionModel?:embed=y) blockeras exempelvis när klickkapningsskydd har aktiverats i Tableau Server.

Inaktivera klickkapningsskydd

Du bör låta klickkapningsskyddet vara aktiverat, såvida det inte påverkar hur dina användare arbetar med Tableau Server. Använd följande tsm-kommandon om du vill inaktivera klickkapningsskydd:

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Tack för din feedback!Din feedback har skickats in. Tack!