ADC

Anwendungsfall: So erzwingen Sie Secure- und HttpOnly-Cookie-Optionen für Websites, die die Citrix ADC Appliance verwenden

October 5, 2021

Beitrag von:

Die Webadministratoren können Secure oder HttpOnly oder sowohl die Flags auf der Session-ID als auch die Authentifizierungscookies erzwingen, die von den Webanwendungen generiert werden. Sie können die Set-Cookie-Header so ändern, dass sie diese beiden Optionen enthalten, indem Sie einen virtuellen HTTP-Lastenausgleichsserver verwenden und Richtlinien auf einer Citrix ADC Appliance umschreiben.

HttpOnly - Diese Option in einem Cookie bewirkt, dass die Webbrowser das Cookie nur über das HTTP- oder HTTPS-Protokoll zurückgeben. Die Nicht-HTTP-Methoden wie JavaScript-Document.cookie Verweise können nicht auf das Cookie zugreifen. Diese Option hilft, Cookie-Diebstahl aufgrund von Cross-Site Scripting zu verhindern.

HINWEIS:

Sie können die Option HttpOnly nicht verwenden, wenn eine Webanwendung Zugriff auf Cookie-Inhalte benötigt, indem Sie ein clientseitiges Skript wie JavaScript oder ein clientseitiges Java-Applet verwenden. Sie können die in diesem Dokument erwähnte Methode verwenden, um nur die servergenerierten Cookies und nicht die von der Citrix ADC Appliance generierten Cookies neu zu schreiben. Zum Beispiel AppFirewall, Persistenz, VPN-Sitzungscookies und so weiter.
Sicher - Diese Option in einem Cookie bewirkt, dass die Webbrowser nur den Cookie-Wert zurückgeben, wenn die Übertragung durch SSL verschlüsselt wird. Diese Option kann verwendet werden, um Cookie-Diebstahl durch Verbindungsabhörung zu verhindern.

HINWEIS:

Das folgende Verfahren gilt nicht für virtuelle VPN-Server.

So konfigurieren Sie die Citrix ADC Appliance so, dass die Secure- und HttpOnly-Flags für einen vorhandenen virtuellen HTTP-Server mithilfe von CLI erzwingen

Erstellen Sie eine Rewrite-Aktion.

Dieses Beispiel ist so konfiguriert, dass sowohl Secure- als auch HttpOnly-Flags festgelegt werden. Wenn einer fehlt, ändern Sie es nach Bedarf für andere Kombinationen.
```
add rewrite action act_cookie_Secure replace_all http.RES.full_Header ""Secure; HttpOnly; path=/"" -search "regex(re!(path=/\\; Secure; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES

```
Diese Richtlinie ersetzt alle Instanzen von “path=/”, “path=/; Secure”, “path=/; Secure; HttpOnly” und “path=/; HttpOnly” durch “Secure; HttpOnly; path=/”. Dieser reguläre Ausdruck (Regex) schlägt fehl, wenn der Fall nicht übereinstimmt.

Erstellen Sie eine Richtlinie zum Umschreiben, um die Aktion auszulösen.

add rewrite policy rw_force_secure_cookie "http.RES.HEADER("Set-Cookie").EXISTS" act_cookie_Secure
<!--NeedCopy-->

Binden Sie die Rewrite-Richtlinie an den zu sichernden virtuellen Server. Wenn Secure Option verwendet wird, muss ein virtueller SSL-Server verwendet werden.
```
bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE

```

Beispiele:

Das folgende Beispiel zeigt das Cookie, bevor das HttpOnly-Flag gesetzt wird

Set-Cookie: CtxsAuthId=C5614491; path=/Citrix/ProdWeb
<!--NeedCopy-->

Das folgende Beispiel zeigt das Cookie nach dem Setzen des Flag HttpOnly

Set-Cookie: CtxsAuthId=C5614491; Secure; HttpOnly; path=/Citrix/ProdWeb/
<!--NeedCopy-->

So konfigurieren Sie die Citrix ADC Appliance so, dass die Secure- und HttpOnly-Flags für einen vorhandenen virtuellen HTTP-Server über die grafische Benutzeroberfläche erzwingen

Navigieren Sie zu AppExpert > Umschreiben > Aktionenund klicken Sie auf Hinzufügen, um eine neue Neuschreibaktion hinzuzufügen.
Navigieren Sie zu AppExpert > Umschreiben > Richtlinienund klicken Sie auf Hinzufügen, um eine neue Umschreibungsrichtlinie hinzuzufügen.
Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und binden Sie dann die Rewrite-Richtlinie (Antwort) an den entsprechenden virtuellen SSL-Server.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Anwendungsfall: So erzwingen Sie Secure- und HttpOnly-Cookie-Optionen für Websites, die die Citrix ADC Appliance verwenden

October 5, 2021

Beitrag von:

October 5, 2021

Beitrag von:

In diesem Artikel

So konfigurieren Sie die Citrix ADC Appliance so, dass die Secure- und HttpOnly-Flags für einen vorhandenen virtuellen HTTP-Server mithilfe von CLI erzwingen
So konfigurieren Sie die Citrix ADC Appliance so, dass die Secure- und HttpOnly-Flags für einen vorhandenen virtuellen HTTP-Server über die grafische Benutzeroberfläche erzwingen