在正式說這個問題之前先跟大家介紹一下Clickjack攻擊(即單擊劫持)。
點選劫持是對網頁的一種攻擊,攻擊者試圖通過在不相關頁面上的透明層中顯示要攻擊的頁面來誘使使用者點選或輸入内容。
可能大家都知道,但我在啰嗦舉個例子🌰具體說明一下什麼是單擊劫持,假如有一個電商網站,頁面上有一個立即購買的按鈕,攻擊者網站可能會在其自己的某個頁面上建立一個“我最可愛”按鈕,然後用iframe将此網站嵌入,那麼使用者每次點選‘我最可愛’按鈕都相當于點選了立即購買。
tableau server 中有針對clickjack攻擊的保護措施,因為在Tableau Server的上下文中,攻擊者可能嘗試使用Clickjack攻擊來捕獲使用者憑據或擷取經過身份驗證的使用者來更改伺服器上的設定。
但是值得注意一點的是,這個功能在早期版本中是禁用狀态,在9.1及以上版本是預設開啟的,是以使用者會發現以前嵌入的視圖現在無法正常通路,那麼請檢查一下版本更新。
下面是clickjack開啟時的動作(這是我在官網上給大家截的圖)
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICM38FdsYkRGZkRG9lcvx2bjxiNx8VZ6l2cs0TP35kMjpnT4FFVPpHOsJGcohVYsR2MMBjVtJWd0ckW65UbM5WOHJWa5kHT20ESjBjUIF2X0hXZ0xCMx81dvRWYoNHLrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnLyUTOxATNzATM1ITMxkTMwIzLc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
想要禁用tableau的clickjack保護,可執行一下tsm指令
tsm配置集-k wgserver.clickjack_defense.enabled -v false
tsm待更改項适用
該
pending-changes apply
指令将顯示提示,讓您知道如果伺服器正在運作,它将重新啟動Tableau Server。即使伺服器已停止,也會顯示該提示,但在這種情況下不會重新啟動。您可以使用該
--ignore-prompt
選項取消提示,但是仍然會重新啟動。
好啦~就這樣,不是必須的話,clickjack 保護建議開啟哦❤️