Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Appliquer le drapeau HttpOnly aux cookies d’authentification

March 27, 2024
Contributeur: 
C

À partir des versions 13.1-37.x et ultérieures de NetScaler Gateway, l’indicateur HttpOnly est disponible sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_AAAC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_AAAC est utilisé pour la session authentifiée. Le drapeau HttpOnly sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

Scénario pris en charge

L’indicateur HttpOnly est pris en charge pour l’authentification nFactor.

Comportement lorsque le bouton HttpOnlyCookie du paramètre NetScaler AAA est utilisé conjointement avec le bouton HttpOnlyCookie de tmsession :

  • Lorsque le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit est activé et que l’authentification nFactor est utilisée, le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit remplace le bouton HttpOnlyCookie de la session TM. De plus, NSC_TMAS et NSC_AAAC sont marqués HttpOnly quel que soit le type de session, qu’il s’agisse d’une session VPN, d’une session TM ou lors de l’authentification nFactor.
  • Si le bouton HttpOnlyCookie est désactivé, l’indicateur HttpOnly n’est pas défini pour une session VPN. Pour le scénario d’authentification, d’autorisation et d’audit, l’indicateur HttpOnly est défini en fonction de la valeur du bouton de session TM.

Configurez la fonctionnalité HttpOnly à l’aide de l’interface de ligne de commande

  • Activer le drapeau HttpOnly

     set aaa parameter -httpOnlyCookie ENABLED

  • Vérifiez l’état de la fonctionnalité HttpOnly

     show aaa parameter

Limitations

  • Lorsque la fonctionnalité HttpOnly est activée, le bouton de la page d’accueil du client Citrix Secure Access ne fonctionne pas.
  • L’indicateur HttpOnly n’est défini dans aucune authentification classique.
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Appliquer le drapeau HttpOnly aux cookies d’authentification
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.