Gateway

Compatibilidad de configuración para el atributo de cookie SameSite

El atributo SameSite indica al explorador si la cookie se puede utilizar para el contexto entre sitios o solo para el contexto del mismo sitio. Si se pretende acceder a una aplicación en el contexto entre sitios, solo puede hacerlo a través de la conexión HTTPS. Para obtener más información, consulte RFC6265.

Hasta febrero de 2020, el atributo SameSite no se establecía explícitamente en el dispositivo NetScaler ADC. El explorador tomó el valor predeterminado (Ninguno). La falta de configuración del atributo SameSite no afectó a las implementaciones de NetScaler Gateway y NetScaler ADC AAA.

Con la actualización de ciertos exploradores, como Google Chrome 80, se produce un cambio en el comportamiento predeterminado entre dominios de las cookies. El atributo SameSite se puede establecer en uno de los valores siguientes. El valor predeterminado para Google Chrome se establece en Lax. Para determinadas versiones de otros exploradores, el valor predeterminado del atributo SameSite puede estar establecido en Ninguno.

  • Ninguno: indica el explorador que utilizará la cookie en el contexto entre sitios solo en conexiones seguras.
  • Lax: indica el explorador que utilizará la cookie para las solicitudes en el mismo contexto del sitio. En el contexto entre sitios, solo los métodos HTTP seguros como la solicitud GET pueden usar la cookie.
  • Estricto: utiliza la cookie solo en el mismo contexto del sitio.

Si no hay ningún atributo SameSite en la cookie, Google Chrome asume la funcionalidad de SameSite = Lax. Como resultado, para las implementaciones dentro de un iframe con contexto entre sitios que requieren que el explorador inserte cookies, Google Chrome no comparte cookies entre sitios. Como resultado, es posible que el iframe del sitio web no se cargue.

Se agrega un nuevo atributo de cookie denominado SameSite a los servidores virtuales VPN y NetScaler ADC AAA. Este atributo se puede establecer a nivel global y a nivel de servidor virtual.

Para configurar el atributo SameSite, debe realizar lo siguiente:

  1. Establecer el atributo SameSite del servidor virtual
  2. Enlazar las cookies al patset (si el explorador deja caer las cookies entre sitios, el explorador las deja caer)

Configuración del atributo SameSite mediante la CLI

Para establecer el atributo SameSite en el nivel del servidor virtual, utilice los siguientes comandos.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Para establecer el atributo SameSite a nivel global, utilice los siguientes comandos.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Nota: La configuración del nivel del servidor virtual tiene preferencia sobre la configuración de nivel global. Citrix recomienda configurar el atributo de cookies SameSite en el nivel del servidor virtual.

Vinculación de cookies a patset mediante la CLI

Si el explorador deja caer cookies entre sitios, puede enlazar esa cadena de cookie a la existente para ns_cookies_SameSite patset que el atributo SameSite se agregue a la cookie.

Ejemplo:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

Configuración del atributo sameSite mediante la interfaz gráfica de usuario

Para establecer el atributo SameSite en el nivel del servidor virtual:

  1. Vaya a NetScaler Gateway > Servidores virtuales.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. Selecciona el icono de modificación en la sección Configuración básica y haga clic en Más.

    Haga clic en Más en Configuración básica

  4. En SameSite, seleccione la opción según sea necesario.

    Definir la casilla de verificación `SameSite`

Para definir el atributo SameSite a nivel global:

  1. Vaya a Citrix Gateway > Configuración global > Cambiar configuración global.
  2. Haga clic en la ficha Seguridad.
  3. En SameSite, seleccione la opción según sea necesario.

    Marcar la casilla `SameSite`

Compatibilidad de configuración para el atributo de cookie SameSite