Gateway

Konfigurationsunterstützung für SameSite-Cookie-Attribut

Das SameSite Attribut gibt dem Browser an, ob das Cookie für den standortübergreifenden Kontext oder nur für denselben Site-Kontext verwendet werden kann. Wenn auf eine Anwendung im standortübergreifenden Kontext zugegriffen werden soll, kann dies nur über die HTTPS-Verbindung erfolgen. Einzelheiten finden Sie unter RFC6265.

Bis Februar 2020 wurde das SameSite Attribut in der NetScaler Appliance nicht explizit festgelegt. Der Browser nahm den Standardwert (Keine). Die Nichteinstellung des SameSite Attributs hatte keine Auswirkungen auf die Bereitstellungen von NetScaler Gateway und NetScaler AAA.

Bei bestimmten Browser-Upgrades wie Google Chrome 80 ändert sich das standardmäßige domänenübergreifende Verhalten von Cookies. Das SameSite Attribut kann auf einen der folgenden Werte festgelegt werden. Der Standardwert für Google Chrome ist auf Lax festgelegt. Für bestimmte Versionen anderer Browser ist der Standardwert für das SameSite Attribut möglicherweise immer noch auf Keine festgelegt.

  • Keine: Weist darauf hin, dass der Browser das Cookie im standortübergreifenden Kontext nur für sichere Verbindungen verwendet.
  • Lax: Zeigt an, dass der Browser das Cookie für Anfragen im Kontext derselben Website verwendet. Im Cross-Site-Kontext können nur sichere HTTP-Methoden wie GET-Request das Cookie verwenden.
  • Streng: Verwenden Sie das Cookie nur im selben Site-Kontext.

Wenn das Cookie kein SameSite Attribut enthält, übernimmt Google Chrome die Funktionalität von SameSite = Lax. Daher teilt Google Chrome für Bereitstellungen innerhalb eines Iframes mit standortübergreifendem Kontext, bei denen Cookies vom Browser eingefügt werden müssen, keine standortübergreifenden Cookies. Infolgedessen wird der Iframe auf der Website möglicherweise nicht geladen.

Ein neues Cookie-Attribut mit dem Namen SameSite wird den virtuellen VPN- und NetScaler AAA-Servern hinzugefügt. Dieses Attribut kann auf globaler Ebene und auf virtueller Serverebene festgelegt werden.

Um das SameSite Attribut zu konfigurieren, müssen Sie Folgendes ausführen:

  1. Legen Sie das SameSite Attribut für den virtuellen Server fest
  2. Binden Sie Cookies an die patset (wenn der Browser siteübergreifende Cookies fallen lässt, werden sie vom Browser fallen gelassen)

Festlegen des SameSite Attributs über die CLI

Verwenden Sie die folgenden Befehle, um das SameSite Attribut auf der Ebene des virtuellen Servers festzulegen.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Verwenden Sie die folgenden Befehle, um das SameSite Attribut auf globaler Ebene festzulegen.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Hinweis: Die Einstellung auf virtueller Serverebene nimmt den Vorzug gegenüber der Einstellung auf globaler Ebene vor. Citrix empfiehlt, das SameSite Cookie-Attribut auf der Ebene des virtuellen Servers festzulegen.

Cookies patset über die CLI an die binden

Wenn der Browser Cross-Site-Cookies löscht, können Sie diese Cookie-Zeichenfolge an die vorhandene binden, ns_cookies_SameSite patset sodass das SameSite Attribut zum Cookie hinzugefügt wird.

Beispiel:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

Festlegen des SameSite-Attributs über die GUI

So legen Sie das SameSite Attribut auf der Ebene des virtuellen Servers fest:

  1. Navigieren Sie zu NetScaler Gateway > Virtuelle Server.
  2. Wählen Sie einen virtuellen Server aus und klicken Sie auf Bearbeiten.
  3. Wählen Sie das Bearbeitungssymbol im Abschnitt Grundeinstellungen aus und klicken Sie auf Mehr.

    Klicken Sie in den Grundeinstellungen auf Mehr

  4. Wählen Sie in SameSitedie Option nach Bedarf aus.

    `SameSite` Kontrollkästchen setzen

So setzen Sie das SameSite Attribut auf globaler Ebene:

  1. Navigieren Sie zu NetScaler Gateway > Globale Einstellungen > Globale Einstellungen ändern .
  2. Klicken Sie auf die Registerkarte Sicherheit.
  3. Wählen Sie in SameSitedie Option nach Bedarf aus.

    Markieren Sie das Kontrollkästchen `SameSite`

Konfigurationsunterstützung für SameSite-Cookie-Attribut