認証Cookieに HttpOnly フラグを強制する
NetScaler Gateway リリース13.1-37.x以降では、VPNシナリオの認証Cookie、つまりNSC_AAACおよびNSC_TMASCookieでHttpOnlyフラグが使用できるようになりました。NSC_TMAS 認証Cookie は nFactor 認証時に使用され、NSC_AAAC Cookie は認証セッションに使用されます。Cookie の HttpOnly フラグは、JavaScript ドキュメントCookie オプションを使用してCookie アクセスを制限します。これにより、クロスサイトスクリプティングによる Cookie の盗難を防ぐことができます。
対応シナリオ
HttpOnly フラグは nFactor 認証でサポートされています。
NetScaler AAA パラメータの HTTPOnlyCookie ノブを tmsession の HTTPOnlyCookie ノブとともに使用したときの動作:
- 認証、承認、および監査パラメータの HTTPOnlyCookie ノブが有効になっていて nFactor 認証が使用されている場合、認証、承認、および監査パラメータの HTTPOnlyCookie ノブは TM セッションの HTTPOnlyCookie ノブよりも優先されます。また、NSC_TMAS と NSC_AAAC はどちらも、セッションタイプ(VPN セッション、TM セッション、または nFactor 認証中)に関係なく、HTTPOnly とマークされます。
- HTTPOnlyCookie ノブを無効にすると、VPN セッションに HTTPOnly フラグは設定されません。認証、承認、および監査シナリオでは、HttpOnly フラグは TM セッションノブの値に基づいて設定されます。
CLI を使用して HTTPOnly 機能を設定します
-
HTTPOnly フラグを有効にする
set aaa parameter -httpOnlyCookie ENABLED -
HttpOnly 機能のステータスを確認してください
show aaa parameter
制限事項
- HttpOnly機能を有効にすると、Citrix Secure Accessクライアントの[ホームページ]ボタンが機能しません。
- HttpOnly フラグは従来の認証では設定されていません。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
認証Cookieに HttpOnly フラグを強制する
コピー完了
コピー失敗