Skip to main content
Edit this page on GitHub

网络与安全设置

CORS

要配置CORS(跨域资源共享),必须安装以下依赖项:

pip install apache-superset[cors]

可以在 superset_config.py 中指定以下键来配置CORS:

  • ENABLE_CORS:必须设置为 True 以启用CORS
  • CORS_OPTIONS:传递给 Flask-CORS 的选项 (文档

HTTP 头

请注意,Superset 捆绑了 flask-talisman, 这是一个小型 Flask 扩展,用于设置 HTTP 头,有助于防范一些常见的 Web 应用程序安全问题。

嵌入仪表盘和图表

有两种方式嵌入仪表盘:使用 SDK 或嵌入直接链接。请注意,在后一种情况下,知道链接的任何人都可以访问该仪表盘。

嵌入公开的仪表盘直接链接

这通过首先更改 flask-talisman 的内容安全策略 (CSP) 来实现,以允许某些域显示 Superset 内容。然后,可以将仪表盘设置为公开访问,即绕过身份验证。一旦公开,可以将仪表盘的 URL 添加到另一个网站的 HTML 代码中的 iframe 中。

更改 flask-talisman CSP

config.py 中的整个 TALISMAN_CONFIG 部分添加到 superset_config.py 中,并包含一个 frame-ancestors 部分:

TALISMAN_ENABLED = True
TALISMAN_CONFIG = {
    "content_security_policy": {
    ...
"frame-ancestors": ["*.my-domain.com", "*.another-domain.com"],
    ...

重启 Superset 以使此配置更改生效。

使仪表盘公开

  1. 'DASHBOARD_RBAC': True 功能标志 添加到 superset_config.py
  2. 按照 此处 的描述将 Public 角色添加到您的仪表盘

嵌入公开的仪表盘

现在任何人都可以直接访问仪表盘的 URL。您可以像这样在 iframe 中嵌入它:

<iframe
  width="600"
  height="400"
  seamless
  frameBorder="0"
  scrolling="no"
  src="https://superset.my-domain.com/superset/dashboard/10/?standalone=1&height=400"
>
</iframe>

嵌入图表

可以通过转到图表的编辑视图,然后点击右上角的 ... > Share > Embed code 来生成图表的嵌入代码

通过 SDK 启用嵌入

点击仪表盘概览页面右上角的 EDIT DASHBOARD 旁边的 ...,应该会出现一个包含“嵌入仪表盘”条目的下拉菜单。

要启用此条目,请在 .env 文件中添加以下行:

SUPERSET_FEATURE_EMBEDDED_SUPERSET=true

CSRF 设置

类似地,flask-wtf 用于管理一些 CSRF 配置。如果需要从 CSRF 中免除某些端点(例如,如果您正在运行自定义身份验证回调端点),可以将这些端点添加到 WTF_CSRF_EXEMPT_LIST 中:

SSH 隧道

  1. 开启功能标志

    • SSH_TUNNELING 更改为 True
    • 如果您希望在建立隧道时增加安全性,我们允许用户在此处覆盖 SSHTunnelManager这里
    • 您还可以设置 SSH_TUNNEL_LOCAL_BIND_ADDRESS,这是隧道将在您的 VPC 上可访问的主机地址

  2. 创建启用了 SSH 隧道的数据库

    • 启用功能标志后,您现在应该会看到 SSH 隧道切换按钮。
    • 点击切换按钮以启用 SSH 隧道,并相应地添加您的凭据。
      • Superset 允许两种不同的身份验证类型(基本 + 私钥)。这些凭据应来自您的服务提供商。

  3. 验证数据是否正在流动

    • 启用 SSH 隧道后,转到 SQL Lab 并编写查询以验证数据是否正常流动。

域分片

Chrome 允许每个域最多同时打开 6 个连接。当仪表盘中有超过 6 个切片时,许多获取请求会排队等待下一个可用套接字。PR 5039 为 Superset 添加了域分片功能,此功能将仅通过配置启用(默认情况下,Superset 不允许跨域请求)。

在您的 superset_config.py 文件中添加以下设置:

  • SUPERSET_WEBSERVER_DOMAINS:允许的主机名列表,用于域分片功能。

请将您的域分片创建为主域的子域,以便在新域上正确授权。例如:

  • SUPERSET_WEBSERVER_DOMAINS=['superset-1.mydomain.com','superset-2.mydomain.com','superset-3.mydomain.com','superset-4.mydomain.com']

或者,如果域分片不是主域的子域,请在您的 superset_config.py 文件中添加以下设置:

  • SESSION_COOKIE_DOMAIN = '.mydomain.com'

中间件

Superset 允许您添加自己的中间件。要添加自己的中间件,请更新 superset_config.py 中的 ADDITIONAL_MIDDLEWARE 键。ADDITIONAL_MIDDLEWARE 应为您的附加中间件类的列表。

例如,要从 nginx 等代理服务器使用 AUTH_REMOTE_USER,您必须添加一个简单的中间件类,将 HTTP_X_PROXY_REMOTE_USER(或代理中的任何其他自定义标头)的值添加到 Gunicorn 的 REMOTE_USER 环境变量中: