ส่วนหัวการตอบสนอง HTTP
Tableau Server รองรับส่วนหัวการตอบสนองบางส่วนที่ระบุใน OWASP Secure Headers Project(ลิงก์จะเปิดในหน้าต่างใหม่)
หัวข้อนี้อธิบายวิธีกำหนดค่าส่วนหัวการตอบสนองต่อไปนี้สำหรับ Tableau Server
- HTTP Strict Transport Security (HSTS)
- Referrer-Policy
- X-Content-Type-Options
- X-XSS-Protection
Tableau Server ยังรองรับมาตรฐาน Content Security Policy (นโยบายการรักษาความปลอดภัยเนื้อหาหรือ CSP) การกำหนดค่า CSP ไม่ครอบคลุมในหัวข้อนี้ ดูที่ นโยบายการรักษาความปลอดภัยของเนื้อหา
การกำหนดค่าส่วนหัวการตอบกลับ
ส่วนหัวการตอบสนองทั้งหมดถูกกำหนดคอนฟิกด้วยคำสั่ง เซตใน tsm configuration
เมื่อคุณกำหนดค่าส่วนหัวการตอบกลับเสร็จแล้ว ให้รัน tsm pending-changes apply
หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply
HTTP Strict Transport Security (HSTS)
HSTS forces clients connecting to Tableau Server to connect with HTTPS. หากต้องการข้อมูลเพิ่มเติม โปรดดู รายการ OWASP HTTP Strict Transport Security (HSTS)(ลิงก์จะเปิดในหน้าต่างใหม่)
ตัวเลือก
gateway.http.hsts
ค่าเริ่มต้น: false
ส่วนหัว HTTP Strict Transport Security (HSTS) บังคับให้เบราว์เซอร์ใช้ HTTPS บนโดเมนที่เปิดใช้งาน
gateway.http.hsts_options
ค่าเริ่มต้น: "max-age=31536000"
ตามค่าเริ่มต้น นโยบาย HSTS จะถูกกำหนดไว้เป็นเวลาหนึ่งปี (31,536,000 วินาที) ช่วงเวลานี้ระบุระยะเวลาที่เบราว์เซอร์จะเข้าถึงเซิร์ฟเวอร์ผ่าน HTTPS
Referrer-Policy
ตั้งแต่รุ่น 2019.2 เป็นต้นไป Tableau Server จะมีความสามารถในการกำหนดค่าส่วนหัวของนโยบายตัวอ้างอิง Referrer-Policy HTTP นโยบายนี้เปิดใช้โดยมีการทำงานเริ่มต้นซึ่งจะรวม URL ต้นทางสำหรับการเชื่อมต่อ "ปลอดภัยในฐานะ" ทั้งหมด (นโยบาย no-referrer-when-downgrade) ในเวอร์ชันก่อนหน้านี้ ส่วนหัวของนโยบายตัวอ้างอิง Referrer-Policy จะไม่รวมอยู่ในการตอบกลับที่ Tableau Server ส่ง หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกนโยบายต่างๆ ที่ Referrer-Policy รองรับ โปรดดู รายการ OWASP Referrer-Policy(ลิงก์จะเปิดในหน้าต่างใหม่)
ตัวเลือก
gateway.http.referrer_policy_enabled
ค่าเริ่มต้น: true
หากต้องการแยกส่วนหัว Referrer-Policy ออกจากการตอบกลับที่ส่งโดย Tableau Server ให้ตั้งค่านี้เป็น false
gateway.http.referrer_policy
ค่าเริ่มต้น: no-referrer-when-downgrade
ตัวเลือกนี้กำหนดนโยบายผู้อ้างอิงสำหรับ Tableau Server คุณสามารถระบุสตริงค่านโยบายที่แสดงอยู่ในตาราง Referrer-Policy(ลิงก์จะเปิดในหน้าต่างใหม่) บนหน้า OWASP
X-Content-Type-Options
ส่วนหัว HTTP การตอบสนอง X-Content-Type-Options ระบุว่าเบราว์เซอร์ไม่ควรเปลี่ยนประเภท MIME ในส่วนหัวของ “ประเภทเนื้อหา” ในบางกรณีที่ไม่ได้ระบุประเภท MIME เบราว์เซอร์อาจพยายามกำหนดประเภท MIME โดยการประเมินลักษณะของเพย์โหลด เบราว์เซอร์จะแสดงเนื้อหาตามนั้น กระบวนการนี้เรียกว่า "Sniffing" การตีความประเภท MIME ผิดพลาดอาจนำไปสู่ช่องโหว่ด้านความปลอดภัย
หากต้องการข้อมูลเพิ่มเติม โปรดดู รายการ OWASP X-Content-Type-Options(ลิงก์จะเปิดในหน้าต่างใหม่)
ตัวเลือก
gateway.http.x_content_type_nosniff
ค่าเริ่มต้น: true
ส่วนหัว HTTP -Content-Type-Options จะถูกตั้งค่าเป็น 'nosniff' ตามค่าเริ่มต้นด้วยตัวเลือกนี้
X-XSS-Protection
ส่วนหัวการตอบสนอง HTTP X-XSS-Protection จะถูกส่งไปยังเบราว์เซอร์เพื่อเปิดใช้งานการป้องกันแบบ cross-site scripting (XSS) ส่วนหัวการตอบสนอง X-XSS-Protection จะแทนที่การกำหนดค่าในกรณีที่ผู้ใช้ปิดใช้งานการป้องกัน XXS ในเบราว์เซอร์
หากต้องการข้อมูลเพิ่มเติม โปรดดู รายการ OWASP X-XSS-Protection(ลิงก์จะเปิดในหน้าต่างใหม่)
ตัวเลือก
gateway.http.x_xss_protection
ค่าเริ่มต้น: true
ส่วนหัวการตอบสนอง X-XSS-Protection จะเปิดใช้งานตามค่าเริ่มต้นด้วยตัวเลือกนี้