Unterstützung für Antwortheader der Inhaltssicherheitsrichtlinie für Citrix Gateway und von virtuellen Servern generierte Authentifizierungsantworten
Ab Citrix ADC Release Build 13.0—76.29 wird der Content-Security-Policy (CSP) -Antwortheader für von Citrix Gateway und virtuelle Authentifizierungsserver generierte Antworten unterstützt.
Der Content-Security-Policy (CSP) Response-Header ist eine Kombination von Richtlinien, die der Browser verwendet, um Cross-Site-Scripting (CSS) -Angriffe zu vermeiden. Der HTTP-CSP-Antwortheader ermöglicht es Website-Administratoren, die Ressourcen zu steuern, die der Benutzeragent für eine bestimmte Seite laden darf. Mit wenigen Ausnahmen beinhalten Richtlinien hauptsächlich die Angabe von Serverursprüngen und Skript-Endpunkten. Dies schützt vor Cross-Site-Scripting-Angriffen. Der CSP-Header wurde entwickelt, um die Art und Weise zu ändern, wie Browser Seiten rendern, und schützt damit vor verschiedenen standortübergreifenden Einschleusungen, einschließlich CSS. Es ist wichtig, den Header-Wert korrekt einzustellen, so dass der ordnungsgemäße Betrieb der Website nicht verhindert wird. Wenn der Header beispielsweise so eingestellt ist, dass er die Ausführung von Inline-JavaScript verhindert, darf die Website auf ihren Seiten kein Inline-JavaScript verwenden.
Im Folgenden sind die Vorteile des CSP-Antwort-Headers aufgeführt.
- Die Hauptfunktion eines CSP-Antwortheaders besteht darin, CSS-Angriffe zu verhindern.
- Neben der Einschränkung der Domänen, aus denen Inhalte geladen werden können, kann der Server angeben, welche Protokolle verwendet werden dürfen. Zum Beispiel (und idealerweise aus Sicherheitssicht) kann ein Server angeben, dass alle Inhalte unter Verwendung von HTTPS geladen werden müssen.
- CSP hilft dabei, Citrix ADC vor standortübergreifenden Scripting-Angriffen zu schützen, indem er Dateien wie “tmindex.html” und “homepage.html” sichert. Die Datei “tmindex.html” bezieht sich auf die Authentifizierung und die Datei “homepage.html” bezieht sich auf die veröffentlichten Apps/Links.
Konfigurieren des Content-Security-Policy-Headers für Citrix Gateway und Authentifizierung von virtuellen Servern generierten Antworten
Um den CSP-Header zu aktivieren, müssen Sie Ihren Webserver so konfigurieren, dass er den CSP-HTTP-Header zurückgibt.
Wichtige Hinweise
- Standardmäßig ist der CSP-Header deaktiviert.
- Beim Aktivieren oder Deaktivieren der Standard-CSP-Richtlinie wird empfohlen, den folgenden Befehl auszuführen.
Flush cache contentgroup loginstaticobjects
- Um den CSP für /logon/LogonPoint/index.html zu ändern, ändern Sie den Wert “Header set Content-Security-Policy” wie erforderlich in dem Abschnitt, der dem Anmeldeverzeichnis entspricht, das im Verzeichnis
/var/netscaler/logon
ist.- Anweisungen zur Konfiguration einer Rewrite-Aktion und -Richtlinie mithilfe der GUI finden Sie unter Rewrite.
Um CSP für den Authentifizierungsserver und von Citrix Gateway generierte Antworten mit CLI zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
set aaa parameter -defaultCSPHeader <ENABLE/DISABLE>
So konfigurieren Sie CSP für Citrix Gateway und Authentifizierung von virtuellen Servern generierten Antworten über die GUI.
-
Navigieren Sie zu Citrix Gateway > Globale Einstellungen und klicken Sie unter Authentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierung ändern.
-
Wählen Sie auf der Seite AAA-Parameter konfigurieren das Feld In Standard-CSP-Header aktiviert aus.
Ein Beispiel für die Anpassung der Kopfzeile von Content-Security-Policy
Im Folgenden finden Sie ein Beispiel für die Anpassung von CSP-Headern, um Images und Skripts nur aus den folgenden beiden angegebenen Quellen einzuschließen: https://company.fqdn.com, https://example.com.
Beispielkonfiguration
add rewrite action modify_csp insert_http_header Content-Security-Policy "\"default-src 'self'; script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src http://localhost:* https://example.com 'self' data: http: https:; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-src 'self'; child-src 'self' com.citrix.agmacepa://* citrixng://* com.citrix.nsgclient://*; form-action 'self'; object-src 'self'; report-uri /nscsp_violation/report_uri\""
add rewrite policy add_csp true modify_csp
bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE