ADC

Compatibilidad de configuración para el atributo de cookie SameSite

El atributo SameSite indica al explorador si la cookie se puede utilizar para el contexto entre sitios o solo para el contexto del mismo sitio. Además, si se pretende acceder a una aplicación en un contexto entre sitios, solo puede hacerlo a través de la conexión HTTPS. Para obtener más información, consulte RFC6265.

Hasta febrero de 2020, el atributo SameSite no estaba establecido explícitamente en Citrix ADC. El explorador tomó el valor predeterminado (Ninguno). No establecer el atributo SameSite no afectó a las implementaciones de autenticación, autorización y auditoría de Citrix Gateway.

Con la actualización de ciertos exploradores, como Google Chrome 80, se produce un cambio en el comportamiento predeterminado entre dominios de las cookies. El atributo SameSite se puede establecer en uno de los siguientes valores. El valor predeterminado para Google Chrome se establece en Lax. Para determinadas versiones de otros exploradores, es posible que el valor predeterminado del atributo SameSite siga estando establecido en Ninguno.

  • Ninguna: indica al navegador que utilizará una cookie en el contexto entre sitios solo en conexiones seguras.
  • Lax: Indica al explorador que utilizará una cookie para solicitudes en el mismo dominio y para sitios cruzados. Para sitios cruzados, solo los métodos HTTP seguros, como la solicitud GET, pueden usar la cookie. Por ejemplo, una solicitud GET de un subdominio abc.example.com puede leer la cookie de otro subdominio xyz.example.com mediante GET. Para sitios cruzados, solo se utilizan métodos HTTP seguros porque los métodos HTTP seguros no alteran el estado del servidor. Para obtener más información, consulte https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite#lax
  • Estricto: utiliza la cookie solo en el mismo contexto del sitio.

Si no hay ningún atributo SameSite en la cookie, Google Chrome asume la funcionalidad de SameSite = Lax. Como resultado, para las implementaciones dentro de un iframe con contexto entre sitios que requieren que el explorador inserte cookies, Google Chrome no comparte cookies entre sitios. Como resultado, es posible que el iframe del sitio web no se cargue.

Se agrega un nuevo atributo de cookie llamado SameSite a la VPN y a los servidores virtuales de autenticación, autorización y auditoría. Este atributo se puede establecer a nivel global y a nivel de servidor virtual.

Para configurar el atributo SameSite, debe hacer lo siguiente:

  1. Establecer el atributo SameSite para el servidor virtual
  2. Enlazar cookies al conjunto de parches (si el explorador deja caer cookies entre sitios)

Configuración del atributo SameSite mediante la CLI

Para establecer el atributo SameSite en el nivel del servidor virtual, utilice los siguientes comandos.

set vpn vserver VP1 -SameSite [STRICT | LAX | None]
set authentication vserver AV1 -SameSite [STRICT | LAX | None]
<!--NeedCopy-->

Para establecer el atributo SameSite a nivel global, utilice los siguientes comandos.

set aaa parameter -SameSite [STRICT | LAX | None]
set vpn parameter -SameSite [STRICT | LAX | None]
<!--NeedCopy-->

Nota: La configuración del nivel del servidor virtual tiene preferencia sobre la configuración de nivel global. Citrix recomienda configurar el atributo de cookie SameSite en el nivel del servidor virtual.

Enlazar cookies al patset mediante la CLI

Si el explorador descarta las cookies entre sitios, puede vincular esa cadena de cookie al conjunto de parches NS_Cookies_SameSite existente para que se agregue el atributo SameSite a la cookie.

Ejemplo:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

Configuración del atributo sameSite mediante la interfaz gráfica de usuario

Para establecer el atributo SameSite en el nivel del servidor virtual:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. Haga clic en el icono de edición de la sección Configuración básicay haga clic en Más.
  4. En SameSite, seleccione la opción según sea necesario.

Seleccione la casilla de verificación SameSite

Para establecer el atributo SameSite a nivel global:

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Cambiar configuración de autenticación.

    Cambiar la configuración de autenticación

  2. En la página Configure AAA Parameter, haga clic en la lista SameSite y seleccione la opción según sea necesario.

Compatibilidad de configuración para el atributo de cookie SameSite