การป้องกันการหลอกให้คลิก

Tableau Server มีการป้องกันการโจมตีแบบหลอกให้คลิก การหลอกให้คลิก เป็นประเภทของการโจมตีหน้าเว็บอย่างหนึ่งที่ผู้โจมตีพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหาโดยแสดงหน้าเพื่อโจมตีในเลเยอร์แบบโปร่งใสบนหน้าที่ไม่เกี่ยวข้อง ในบริบทของ Tableau Server ผู้โจมตีอาจพยายามใช้การโจมตีแบบหลอกให้คลิกเพื่อดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ตรวจสอบสิทธิ์แล้วทำการเปลี่ยนการตั้งค่าบนเซิร์ฟเวอร์ของคุณ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีแบบหลอกให้คลิก โปรดดูการหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่)บนเว็บไซต์ Open Web Application Security Project

หมายเหตุ การป้องกันการหลอกให้คลิกมีในเวอร์ชันก่อนหน้าของ Tableau Server แต่ถูกปิดใช้ตามค่าเริ่มต้น การติดตั้งใหม่ๆ ของ Tableau Server 9.1 ขึ้นไปจะเปิดใช้งานการป้องกันการหลอกให้คลิกเสมอเว้นเสียแต่ว่าคุณจะปิดการใช้งานเอง

ผลของการป้องกันการหลอกให้คลิก

เมื่อมีการเปิดใช้งานการป้องกันการหลอกให้คลิกบน Tableau Server พฤติกรรมของหน้าที่ดาวน์โหลดจาก Tableau Server จะเปลี่ยนไปดังต่อไปนี้

  • Tableau Server จะเพิ่ม X-Frame-Options: SAMEORIGIN ในส่วนหัวไปยังบางส่วนของการตอบสนองจากเซิร์ฟเวอร์ ในเวอร์ชันปัจจุบันของเบราว์เซอร์ส่วนใหญ่ ส่วนหัวนี้จะป้องกันไม่ให้มีการดาวน์โหลดเนื้อหาเข้ามายังสมาชิก <iframe> ซึ่งจะช่วยป้องกันการโจมตีแบบหลอกให้คลิกได้

  • หน้าระดับบนสุดจาก Tableau Server จะไม่สามารถดาวน์โหลดได้ในสมาชิก <iframe> ซึ่งรวมถึงหน้าเข้าสู่ระบบด้วย ผลที่ตามมาประการหนึ่งคือคุณจะไม่สามารถโฮสต์หน้า Tableau Server ในแอปพลิเคชันที่คุณสร้างได้

  • จะมีเฉพาะมุมมองเท่านั้นที่ฝังได้

  • หากมุมมองที่ฝังไว้ต้องการใช้ข้อมูลเข้าสู่ระบบ จะมีข้อความปรากฏในสมาชิก <iframe> พร้อมลิงก์ให้เปิดมุมมองในหน้าต่างที่ปลอดภัยซึ่งผู้ใช้สามารถป้อนข้อมูลเข้าสู่ระบบโดยปลอดภัยได้ ผู้ใช้ควรตรวจสอบที่อยู่ของหน้าต่างที่เปิดขึ้นมาก่อนป้อนข้อมูลเข้าสู่ระบบเสมอ

  • มุมมองจะดาวน์โหลดได้ก็ต่อเมื่อมีพารามิเตอร์ :embed=y อยู่ในสตริงการค้นหาดังตัวอย่างนี้

    http://<server>/views/Sales/CommissionModel?:embed=y

    หมายเหตุ เมื่อเปิดการใช้งานการป้องกันการหลอกให้คลิก มุมมองที่ฝังไว้ที่ใช้ URL ที่คัดลอกมาจากที่อยู่เบราว์เซอร์อาจไม่ทำงาน URL มุมมองเหล่านี้มักมีเครื่องหมายสี่เหลี่ยม (#) หลังชื่อเซิร์ฟเวอร์ (เช่น http://myserver/#/views/Sales/CommissionModel?:embed=y) จะถูกบล็อกเมื่อเปิดการใช้งานการป้องกันการหลอกให้คลิกบน Tableau Server

การปิดใช้งานการป้องกันการหลอกให้คลิก

คุณควรเปิดการใช้งานการป้องกันการหลอกให้คลิกไว้เว้นเสียแต่มันส่งผลกระทบต่อการทำงานของผู้ใช้ของคุณกับ Tableau Server หากคุณต้องการปิดใช้งานการป้องกันการหลอกให้คลิก ให้ใช้คำสั่ง tsm ต่อไปนี้

  1. tsm configuration set -k wgserver.clickjack_defense.enabled -v false
  2. tsm pending-changes apply

    หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ