Tableau Server on Windows ヘルプ

Tableau Server では、OWASP Secure Code Project(新しいウィンドウでリンクが開く) で仕様が作成された応答ヘッダーの一部がサポートされています。

このトピックでは、次の応答ヘッダーを Tableau Server 用に構成する方法について説明します。

• HTTP Strict Transport Security (HSTS)
• Referrer-Policy
• X-Content-Type-Options
• X-XSS-Protection

Tableau Server では、コンテンツ セキュリティ ポリシー (CSP) 標準もサポートされています。CSP の構成については、このトピックでは説明しません。コンテンツ セキュリティ ポリシーを参照してください。

応答ヘッダーの構成

応答ヘッダーはすべて、tsm configuration set コマンドを使用して構成します。

応答ヘッダーの構成が完了したら、tsm pending-changes apply を実行します。

保留中の変更にサーバーの再起動が必要な場合は、pending-changes apply コマンドの実行時に、再起動が行われることを知らせるメッセージが表示されます。このメッセージはサーバーが停止していても表示されますが、その場合には再起動は行われません。--ignore-prompt オプションを使用してメッセージが表示されないようにできますが、そのようにしても再起動に関する動作が変わることはありません。変更に再起動が必要ない場合は、メッセージなしで変更が適用されます。詳細については、tsm pending-changes applyを参照してください。

HTTP Strict Transport Security (HSTS)

HSTS は、Tableau Server に接続するクライアントに HTTPS 接続を強制するものです。詳細については、OWASP の「HTTP Strict Transport Security (HSTS)」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

Referrer-Policy

2019.2 から、Tableau Server には Referrer-Policy HTTP ヘッダーの動作を構成する機能が含まれています。このポリシーは、すべての "secure as" 接続で起点の URL を含める既定の動作 (ポリシー no-referrer-when-downgrade) を指定して有効になっています。以前のバージョンでは、Referrer-Policy ヘッダーは Tableau Server から送信された応答に含まれていませんでした。Referrer-Policy がサポートする様々なポリシー オプションの詳細については、OWASP の「Referrer-Policy」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

gateway.http.referrer_policy_enabled

gateway.http.referrer_policy

X-Content-Type-Options

X-Content-Type-Options の応答 HTTP ヘッダーによって、Content-Type ヘッダーの MIME タイプがブラウザーで変更されないように指定されます。MIME タイプが指定されていない場合、ブラウザーではペイロードの特性を評価して MIME タイプを判断しようとすることがあります。次に、ブラウザーにコンテンツが表示されます。このプロセスは「スニッフィング」と呼ばれます。MIME タイプを誤って解釈すると、セキュリティの脆弱性を招く恐れがあります。

詳細については、OWASP の「X-Content-Type-Options」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

X-XSS-Protection

HTTP X-XSS-Protection 応答ヘッダーがブラウザーに送信され、クロスサイト スクリプティング (XSS) 保護が有効になります。X-XSS-Protection 応答ヘッダーは、ユーザーがブラウザーで XXS 保護を無効にした場合に構成を上書きします。

詳細については、OWASP の「X-XSS-Protection」(新しいウィンドウでリンクが開く)エントリを参照してください。

オプション

このセクションの他の記事