Gateway

Appliquer le drapeau HttpOnly aux cookies d’authentification

March 27, 2024

Contributeur:

À partir des versions 13.1-37.x et ultérieures de NetScaler Gateway, l’indicateur HttpOnly est disponible sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_AAAC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_AAAC est utilisé pour la session authentifiée. Le drapeau HttpOnly sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

Scénario pris en charge

L’indicateur HttpOnly est pris en charge pour l’authentification nFactor.

Comportement lorsque le bouton HttpOnlyCookie du paramètre NetScaler AAA est utilisé conjointement avec le bouton HttpOnlyCookie de tmsession :

Lorsque le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit est activé et que l’authentification nFactor est utilisée, le bouton HttpOnlyCookie du paramètre d’authentification, d’autorisation et d’audit remplace le bouton HttpOnlyCookie de la session TM. De plus, NSC_TMAS et NSC_AAAC sont marqués HttpOnly quel que soit le type de session, qu’il s’agisse d’une session VPN, d’une session TM ou lors de l’authentification nFactor.
Si le bouton HttpOnlyCookie est désactivé, l’indicateur HttpOnly n’est pas défini pour une session VPN. Pour le scénario d’authentification, d’autorisation et d’audit, l’indicateur HttpOnly est défini en fonction de la valeur du bouton de session TM.

Configurez la fonctionnalité HttpOnly à l’aide de l’interface de ligne de commande

Activer le drapeau HttpOnly

 set aaa parameter -httpOnlyCookie ENABLED
 <!--NeedCopy-->

Vérifiez l’état de la fonctionnalité HttpOnly
```
 show aaa parameter
 
```

Limitations

Lorsque la fonctionnalité HttpOnly est activée, le bouton de la page d’accueil du client Citrix Secure Access ne fonctionne pas.
L’indicateur HttpOnly n’est défini dans aucune authentification classique.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Appliquer le drapeau HttpOnly aux cookies d’authentification

March 27, 2024

Contributeur:

March 27, 2024

Contributeur:

Dans cet article

Scénario pris en charge
Configurez la fonctionnalité HttpOnly à l’aide de l’interface de ligne de commande
Limitations

Cela vous a-t-il été utile ?