Gateway

Compatibilidad de configuración para el atributo de cookie SameSite

El atributo SameSite indica al navegador si la cookie se puede usar para el contexto entre sitios o solo para el contexto del mismo sitio. Además, si se pretende acceder a una aplicación en un contexto entre sitios, solo puede hacerlo a través de una conexión HTTPS. Para obtener más información, consulte RFC6265.

Hasta febrero de 2020, el atributo SameSite no estaba establecido explícitamente en Citrix ADC. El explorador tomó el valor predeterminado (Ninguno). La no configuración del atributo SameSite no afectó a las implementaciones AAA de Citrix Gateway y Citrix ADC.

Con la actualización de ciertos exploradores, como Google Chrome 80, se produce un cambio en el comportamiento predeterminado entre dominios de las cookies. El atributo SameSite se puede establecer en uno de los siguientes valores. El valor predeterminado para Google Chrome se establece en Lax. Para ciertas versiones de otros navegadores, es posible que el valor predeterminado del atributo SameSite siga siendo Ninguno.

  • Ninguno: indica que el explorador debe utilizar cookie en contexto entre sitios solo en conexiones seguras.
  • Lax: indica que el navegador debe usar cookies para las solicitudes en el contexto del mismo sitio. En el contexto entre sitios, solo los métodos HTTP seguros, como la solicitud GET, pueden usar la cookie.
  • Estricto: utiliza la cookie solo en el mismo contexto del sitio.

Si no hay ningún atributo SameSite en la cookie, Google Chrome asume la funcionalidad de SameSite = Lax. Como resultado, para las implementaciones dentro de un iframe con contexto entre sitios que requieren que el explorador inserte cookies, Google Chrome no comparte cookies entre sitios. Como resultado, es posible que el iframe del sitio web no se cargue.

Se agrega un nuevo atributo de cookie denominado SameSite a los servidores virtuales AAA de Citrix ADC y VPN. Este atributo se puede establecer a nivel global y a nivel de servidor virtual.

Para configurar el atributo SameSite, debe realizar lo siguiente:

  1. Establecer el atributo SameSite para el servidor virtual
  2. Enlazar las cookies al conjunto de patentes (si el navegador descarta, las cookies entre sitios, el navegador descarta las cookies de varios sitios)

Configuración del atributo SameSite mediante la CLI

Para establecer el atributo SameSite en el nivel del servidor virtual, utilice los siguientes comandos.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Para establecer el atributo SameSite a nivel global, utilice los siguientes comandos.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Nota: La configuración del nivel del servidor virtual tiene preferencia sobre la configuración de nivel global. Citrix recomienda configurar el atributo de cookie SameSite en el nivel del servidor virtual.

Enlazar cookies al patset mediante la CLI

Si el explorador descarta las cookies entre sitios, puede vincular esa cadena de cookie al conjunto de parches NS_Cookies_SameSite existente para que se agregue el atributo SameSite a la cookie.

Ejemplo:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

Configuración del atributo sameSite mediante la interfaz gráfica de usuario

Para establecer el atributo SameSite en el nivel del servidor virtual:

  1. Vaya a NetScaler Gateway > Servidores virtuales.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. Selecciona el icono de modificación en la sección Configuración básica y haga clic en Más.

    Haga clic en Más en Configuración básica

  4. En SameSite, seleccione la opción según sea necesario.

    Casilla de verificación Establecer SameSite

Para establecer el atributo SameSite a nivel global:

  1. Vaya a Citrix Gateway > Configuración global > Cambiar configuración global.
  2. Haga clic en la ficha Seguridad.
  3. En SameSite, seleccione la opción según sea necesario.

    Seleccione la casilla de verificación SameSite

Compatibilidad de configuración para el atributo de cookie SameSite