Konfigurationsunterstützung für SameSite-Cookie-Attribut
Das SameSite-Attribut gibt dem Browser an, ob das Cookie für standortübergreifenden Kontext oder nur für den gleichen Site-Kontext verwendet werden kann. Wenn auf eine Anwendung in einem standortübergreifenden Kontext zugegriffen werden soll, kann sie dies auch nur über die HTTPS-Verbindung tun. Einzelheiten siehe RFC6265.
Bis Februar 2020 wurde das SameSite-Attribut in Citrix ADC nicht explizit festgelegt. Der Browser nahm den Standardwert (Keine). Die Nichteinstellung des SameSite-Attributs hatte keine Auswirkungen auf das Citrix Gateway und die Authentifizierungs-, Autorisierungs- und Überwachungsbereitstellungen.
Bei bestimmten Browser-Upgrades wie Google Chrome 80 ändert sich das standardmäßige domänenübergreifende Verhalten von Cookies. Das SameSite-Attribut kann auf einen der folgenden Werte festgelegt werden. Der Standardwert für Google Chrome ist auf Lax festgelegt. Bei bestimmten Versionen anderer Browser ist der Standardwert für das SameSite-Attribut möglicherweise immer noch auf None festgelegt.
- Keine: Weist darauf hin, dass der Browser ein Cookie im standortübergreifenden Kontext nur bei sicheren Verbindungen verwendet.
- Lax: Weist darauf hin, dass der Browser ein Cookie für Anfragen auf derselben Domain und für Cross-Sites verwendet. Für standortübergreifende Zwecke können nur sichere HTTP-Methoden wie GET-Anfrage das Cookie verwenden. Beispielsweise kann eine GET-Anfrage einer Ein-Subdomain abc.beispiel.com das Cookie einer anderen Subdomain xyz.beispiel.com mithilfe eines GET lesen. Für standortübergreifende Anwendungen werden nur sichere HTTP-Methoden verwendet, da sichere HTTP-Methoden den Serverstatus nicht verändern. Weitere Einzelheiten finden Sie unter https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite#lax
- Streng: Verwenden Sie das Cookie nur im selben Site-Kontext.
Wenn das Cookie kein sameSite-Attribut enthält, geht Google Chrome von der Funktionalität von sameSite = Lax aus. Daher teilt Google Chrome bei Bereitstellungen innerhalb eines iframes mit standortübergreifendem Kontext, bei dem Cookies vom Browser eingefügt werden müssen, keine standortübergreifenden Cookies. Infolgedessen wird der Iframe auf der Website möglicherweise nicht geladen.
SameSite-Cookie-Attribut konfigurieren
Ein neues Cookie-Attribut namens SameSite wird dem VPN und der Authentifizierung, Autorisierung und Überwachung virtueller Server hinzugefügt. Dieses Attribut kann auf globaler Ebene und auf virtueller Serverebene festgelegt werden.
Um das sameSite-Attribut zu konfigurieren, müssen Sie Folgendes tun:
- Setzt das sameSite-Attribut für den virtuellen Server
- Binden Sie Cookies an den Patset (wenn der Browser Site-übergreifende Cookies ablegt)
Festlegen des sameSite-Attributs mithilfe der CLI
Verwenden Sie die folgenden Befehle, um das sameSite-Attribut auf virtueller Serverebene festzulegen.
set vpn vserver VP1 -SameSite [STRICT | LAX | None]
set authentication vserver AV1 -SameSite [STRICT | LAX | None]
<!--NeedCopy-->
Verwenden Sie die folgenden Befehle, um das sameSite-Attribut auf globaler Ebene festzulegen.
set aaa parameter -SameSite [STRICT | LAX | None]
set vpn parameter -SameSite [STRICT | LAX | None]
<!--NeedCopy-->
Hinweis: Die Einstellung auf virtueller Serverebene nimmt den Vorzug gegenüber der Einstellung auf globaler Ebene vor. Citrix empfiehlt, das SameSite-Cookie-Attribut auf der Ebene des virtuellen Servers festzulegen.
Binden von Cookies an den Patset mithilfe der CLI
Wenn der Browser Site-übergreifende Cookies löscht, können Sie diese Cookie-Zeichenfolge an das vorhandene NS_Cookies_SameSite-Patset binden, sodass das sameSite-Attribut dem Cookie hinzugefügt wird.
Beispiel:
bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->
Festlegen des SameSite-Attributs über die GUI
So legen Sie das sameSite-Attribut auf virtueller Serverebene fest:
- Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server.
- Wählen Sie einen virtuellen Server aus und klicken Sie auf Bearbeiten.
- Klicken Sie im Abschnitt Grundeinstellungenauf das Bearbeitungssymbol und dann auf Mehr.
- Wählen Sie in SameSitedie Option nach Bedarf aus.
So legen Sie das sameSite-Attribut auf globaler Ebene fest:
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Authentifizierungseinstellungen ändern.
-
Klicken Sie auf der Seite AAA-Parameter konfigurieren auf die SameSite-Liste und wählen Sie die gewünschte Option aus.
