Gateway

Aplicar el indicador HttpOnly en las cookies de autenticación

A partir de las versiones 13.1-37.x y posteriores de NetScaler Gateway, el indicador HttpOnly está disponible en las cookies de autenticación de los casos con VPN, es decir, en las cookies NSC_AAAC y NSC_TMAS. La cookie de autenticación NSC_TMAS se usa durante la autenticación nFactor y la cookie NSC_AAAC se usa para la sesión autenticada. El indicador HttpOnly de una cookie restringe el acceso a las cookies mediante la opción de cookie de documentos de JavaScript. Esto ayuda a evitar el robo de cookie debido a las secuencias de comandos entre sitios.

Caso admitido

El indicador HttpOnly es compatible con la autenticación nFactor.

Comportamiento cuando se usa el botón HttpOnlyCookie del parámetro AAA de NetScaler junto con el botón HttpOnlyCookie de tmsession:

  • Cuando el botón HttpOnlyCookie del parámetro de autenticación, autorización y auditoría está activado y se utiliza la autenticación nFactor, el botón HttpOnlyCookie del parámetro de autenticación, autorización y auditoría supedita el botón HttpOnlyCookie de la sesión TM. Además, tanto NSC_TMAS como NSC_AAAC se marcan como HttpOnly independientemente del tipo de sesión, ya sea una sesión de VPN, una sesión de TM o durante la autenticación de nFactor.
  • Si el botón HttpOnlyCookie está inhabilitado, el indicador HttpOnly no está configurado para una sesión de VPN. Para el caso de autenticación, autorización y auditoría, el indicador HttpOnly se establece en función del valor del botón de sesión de TM.

Configurar la función HttpOnly mediante la CLI

  • Habilitar el indicador HttpOnly

     set aaa parameter -httpOnlyCookie ENABLED
     <!--NeedCopy-->
    
  • Comprobar el estado de la función HttpOnly

     show aaa parameter
     <!--NeedCopy-->
    

Limitaciones

  • Cuando la función HttpOnly está habilitada, el botón de página de inicio del cliente Citrix Secure Access no funciona.
  • El indicador HttpOnly no está establecido en ninguna autenticación clásica.
Aplicar el indicador HttpOnly en las cookies de autenticación