Gateway

HttpOnly-Flag für Authentifizierungs-Cookies erzwingen

Ab NetScaler Gateway Version 13.1-37.x und höher ist das HttpOnly-Flag für die Authentifizierungscookies von VPN-Szenarien verfügbar, d. h. für NSC_AAAC- und NSC_TMAS-Cookies. Das NSC_TMAS-Authentifizierungscookie wird während der nFactor-Authentifizierung verwendet und das NSC_AAAC-Cookie wird für die authentifizierte Sitzung verwendet. Das HttpOnly-Flag in einem Cookie schränkt den Cookie-Zugriff mithilfe der Cookie-Option für JavaScript-Dokumente ein. Dies hilft dabei, Cookie-Diebstahl aufgrund von Cross-Site Scripting verhindern.

Unterstütztes Szenario

Das HTTPOnly-Flag wird für die nFactor-Authentifizierung unterstützt.

Verhalten, wenn der HttpOnlyCookie-Knopf des NetScaler AAA-Parameters zusammen mit dem HttpOnlyCookie-Knopf von tmsession verwendet wird:

  • Wenn der httpOnlyCookie-Knopf des Authentifizierungs-, Autorisierungs- und Audit-Parameters aktiviert ist und die nFactor-Authentifizierung verwendet wird, überschreibt der httpOnlyCookie-Knopf des Authentifizierungs-, Autorisierungs- und Auditing-Parameters den httpOnlyCookie-Knopf der TM-Sitzung. Außerdem sind sowohl NSC_TMAS als auch NSC_AAAC unabhängig vom Sitzungstyp als HttpOnly gekennzeichnet, unabhängig davon, ob es sich um eine VPN-Sitzung, TM-Sitzung oder während der nFactor-Authentifizierung handelt.
  • Wenn der HttpOnlyCookie-Knopf deaktiviert ist, ist das HttpOnly-Flag für eine VPN-Sitzung nicht gesetzt. Für das Authentifizierungs-, Autorisierungs- und Auditszenario wird das HttpOnly-Flag auf der Grundlage des TM-Sitzungsknopfwerts gesetzt.

HttpOnly-Funktion über die CLI konfigurieren

  • HttpOnly-Flag aktivieren

     set aaa parameter -httpOnlyCookie ENABLED
     <!--NeedCopy-->
    
  • Status der HttpOnly-Funktion überprüfen

     show aaa parameter
     <!--NeedCopy-->
    

Einschränkungen

  • Wenn die HttpOnly-Funktion aktiviert ist, funktioniert die Home-Page-Schaltfläche auf dem Citrix Secure Access-Client nicht.
  • Das HttpOnly-Flag ist bei keiner klassischen Authentifizierung gesetzt.
HttpOnly-Flag für Authentifizierungs-Cookies erzwingen