Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

  Auf Englisch anzeigen

Unterstützung für Antwortheader der Inhaltssicherheitsrichtlinie für NetScaler Gateway und von virtuellen Servern generierte Authentifizierungsantworten

April 15, 2024
Beitrag von: 
C

Ab NetScaler Release Build 13.0−76.29 wird der Content-Security-Policy (CSP) -Antwortheader für von NetScaler Gateway und virtuelle Authentifizierungsserver generierte Antworten unterstützt.

Der Content-Security-Policy (CSP) Response-Header ist eine Kombination von Richtlinien, die der Browser verwendet, um Cross-Site-Scripting (CSS) -Angriffe zu vermeiden. Der HTTP-CSP-Antwortheader ermöglicht es Website-Administratoren, die Ressourcen zu steuern, die der Benutzeragent für eine bestimmte Seite laden darf. Mit wenigen Ausnahmen beinhalten Richtlinien hauptsächlich die Angabe von Serverursprüngen und Skript-Endpunkten. Dies schützt vor Cross-Site-Scripting-Angriffen. Der CSP-Header wurde entwickelt, um die Art und Weise zu ändern, wie Browser Seiten rendern, und schützt damit vor verschiedenen standortübergreifenden Einschleusungen, einschließlich CSS. Es ist wichtig, den Header-Wert korrekt einzustellen, so dass der ordnungsgemäße Betrieb der Website nicht verhindert wird. Wenn der Header beispielsweise so eingestellt ist, dass er die Ausführung von Inline-JavaScript verhindert, darf die Website auf ihren Seiten kein Inline-JavaScript verwenden.

Im Folgenden sind die Vorteile des CSP-Antwort-Headers aufgeführt.

  • Die Hauptfunktion eines CSP-Antwortheaders besteht darin, CSS-Angriffe zu verhindern.
  • Neben der Einschränkung der Domänen, aus denen Inhalte geladen werden können, kann der Server angeben, welche Protokolle verwendet werden dürfen. Zum Beispiel (und idealerweise aus Sicherheitssicht) kann ein Server angeben, dass alle Inhalte unter Verwendung von HTTPS geladen werden müssen.
  • CSP hilft dabei, NetScaler vor standortübergreifenden Scripting-Angriffen zu schützen, indem er Dateien wie “tmindex.html” und “homepage.html” sichert. Die Datei “tmindex.html” bezieht sich auf die Authentifizierung und die Datei “homepage.html” bezieht sich auf die veröffentlichten Apps/Links.

Konfigurieren des Content-Security-Policy-Headers für NetScaler Gateway und Authentifizierung von virtuellen Servern generierten Antworten

Um den CSP-Header zu aktivieren, müssen Sie Ihren Webserver so konfigurieren, dass er den CSP-HTTP-Header zurückgibt.

Wichtige Hinweise

  • Standardmäßig ist der CSP-Header deaktiviert.
  • Beim Aktivieren oder Deaktivieren der Standard-CSP-Richtlinie wird empfohlen, den folgenden Befehl auszuführen. Flush cache contentgroup loginstaticobjects
  • Um den CSP für /logon/LogonPoint/index.html zu ändern, ändern Sie den Wert “Header set Content-Security-Policy” wie erforderlich in dem Abschnitt, der dem Anmeldeverzeichnis entspricht, das im Verzeichnis /var/netscaler/logon ist.
  • Anweisungen zur Konfiguration einer Rewrite-Aktion und -Richtlinie mithilfe der GUI finden Sie unter Rewrite.

Um CSP für den Authentifizierungsserver und von NetScaler Gateway generierte Antworten mit CLI zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set aaa parameter -defaultCSPHeader <ENABLE/DISABLE>

So konfigurieren Sie CSP für NetScaler Gateway und Authentifizierung von virtuellen Servern generierten Antworten über die GUI.

  1. Navigieren Sie zu NetScaler Gateway > Globale Einstellungen und klicken Sie unter Authentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierung ändern.

    CSP global-1

  2. Wählen Sie auf der Seite AAA-Parameter konfigurieren das Feld In Standard-CSP-Header aktiviert aus.

    CSP global-2

Benutzerdefinierter Content-Security-Policy-Header

Sie können einen benutzerdefinierten CSP-Header mithilfe einer Rewrite-Richtlinie auf dem virtuellen VPN-Server und den virtuellen Authentifizierungsservern für vom AAA-Endpunkt generierte Antworten konfigurieren.

Im Folgenden finden Sie ein Beispiel für die Anpassung des CSP-Headers, sodass nur Bilder und Skripts aus den folgenden beiden angegebenen Quellen enthalten sind: https://company.fqdn.com, https://example.com.

add rewrite action modify_csp insert_http_header Content-Security-Policy ""default-src 'self'; script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src http://localhost:* https://example.com 'self' data: http: https:; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-src 'self'; child-src 'self' com.citrix.agmacepa://* citrixng://* com.citrix.nsgclient://*; form-action 'self'; object-src 'self'; report-uri /nscsp_violation/report_uri""

add rewrite policy csp_pol true modify_csp

Um die Richtlinie an den virtuellen Authentifizierungsserver zu binden,

bind authentication vserver auth_vs -policy csp_pol -priority 1 -type AAA_RESPONSE

bind authentication vserver auth_vs -policy csp_pol -priority 2 -type RESPONSE

Um die Richtlinie an den virtuellen VPN-Server zu binden,

bind vpn vserver vpn_vs -policy csp_pol -priority 1 -type AAA_RESPONSE

bind vpn vserver vpn_vs -policy csp_pol -priority 2 -type RESPONSE

Hinweis:

Der benutzerdefinierte CSP-Header kann auf den virtuellen Servern für Content Switching und Load Balancing für bestimmte AAA-generierte Antworten nicht konfiguriert werden.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Unterstützung für Antwortheader der Inhaltssicherheitsrichtlinie für NetScaler Gateway und von virtuellen Servern generierte Authentifizierungsantworten
April 15, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.