Windows 기반 Tableau Server 도움말

Tableau Server는 OWASP 보안 헤더 프로젝트(링크가 새 창에서 열림)에 지정된 응답 헤더 중 일부를 지원합니다.

이 항목에서는 Tableau Server에서 다음과 같은 응답 헤더를 구성하는 방법에 대해 설명합니다.

• HSTS(HTTP Strict Transport Security)
• Referrer-Policy
• X-Content-Type-Options
• X-XSS-Protection

Tableau Server는 CSP(콘텐츠 보안 정책) 표준도 지원합니다. CSP 구성은 이 항목에서 다루지 않습니다. 자세한 내용은 콘텐츠 보안 정책을 참조하십시오.

응답 헤더 구성

모든 응답 헤더는 tsm configuration set 명령으로 구성됩니다.

응답 헤더 구성을 마쳤으면 tsm pending-changes apply를 실행합니다.

보류 중인 변경 내용을 적용하려면 서버를 다시 시작해야 하는 경우 pending-changes apply 명령은 서버가 다시 시작됨을 알리는 메시지를 표시합니다. 서버가 중지된 경우에도 이 메시지가 표시되지만 이 경우 다시 시작은 없습니다. --ignore-prompt 옵션을 사용하여 이 메시지를 표시하지 않을 수 있지만 다시 시작 동작은 변경되지 않습니다. 변경 내용을 적용해도 다시 시작할 필요가 없는 경우 메시지 없이 변경 내용이 적용됩니다. 자세한 내용은 tsm pending-changes apply를 참조하십시오.

HSTS(HTTP Strict Transport Security)

HSTS는 Tableau Server에 연결하는 클라이언트가 HTTPS를 사용하여 연결하도록 요구합니다. 자세한 내용은 OWASP 항목 HSTS(HTTP Strict Transport Security)(링크가 새 창에서 열림)를 참조하십시오.

옵션

Referrer-Policy

2019.2부터 Tableau Server에는 Referrer-Policy HTTP 헤더 동작을 구성하는 기능이 포함되어 있습니다. 이 정책은 모든 "보안" 연결에 대한 원본 URL을 포함하는 기본 동작에서 사용하도록 설정됩니다(no-referrer-when-downgrade 정책). 이전 버전에서는 Referrer-Policy 헤더가 Tableau Server가 전송하는 응답에 포함되지 않았습니다. Referrer-Policy가 지원하는 다양한 정책 옵션에 대한 자세한 내용은 OWASP 항목 Referrer-Policy(링크가 새 창에서 열림)를 참조하십시오.

옵션

gateway.http.referrer_policy_enabled

gateway.http.referrer_policy

X-Content-Type-Options

X-Content-Type-Options 응답 HTTP 헤더는 Content-Type 헤더의 MIME 유형이 브라우저에 의해 변경되지 않도록 지정합니다. MIME 유형이 지정되지 않은 경우에는 브라우저가 페이로드 특성을 평가하여 MIME 유형을 결정하려고 시도할 수 있습니다. 그런 다음 결과에 따라 콘텐츠를 표시합니다. 이 프로세스를 "스니핑"이라고 합니다. MIME 유형을 잘못 해석하면 보안 취약점이 발생할 수 있습니다.

자세한 내용은 OWASP 항목 X-Content-Type-Options(링크가 새 창에서 열림)를 참조하십시오.

옵션

X-XSS-Protection

HTTP X-XSS-Protection 응답 헤더가 브라우저로 전송되어 XSS(사이트 간 스크립팅) 보호 기능을 사용하도록 설정합니다. 사용자가 브라우저에서 XXS 보호 기능을 해제한 경우 X-XSS-Protection 응답 헤더가 구성을 재정의합니다.

자세한 내용은 OWASP 항목 X-XSS-Protection(링크가 새 창에서 열림)을 참조하십시오.

옵션

이 섹션의 다른 문서