Gateway

認証Cookieに HttpOnly フラグを強制する

NetScaler Gatewayリリース13.0-89.x以降では、VPNシナリオの認証クッキー、つまりNSC_AAACクッキーとNSC_TMASクッキーでHTTPOnlyフラグを使用できます。NSC_TMAS 認証Cookie は nFactor 認証時に使用され、NSC_AAAC Cookie は認証セッションに使用されます。Cookie の HttpOnly フラグは、JavaScript ドキュメントCookie オプションを使用してCookie アクセスを制限します。これにより、クロスサイトスクリプティングによる Cookie の盗難を防ぐことができます。

対応シナリオ

HttpOnly フラグは nFactor 認証でサポートされています。

NetScaler ADC AAA パラメータの HTTPOnlyCookie ノブを tmsession の HTTPOnlyCookie ノブとともに使用したときの動作:

  • 認証、承認、および監査パラメータの HTTPOnlyCookie ノブが有効になっていて nFactor 認証が使用されている場合、認証、承認、および監査パラメータの HTTPOnlyCookie ノブは TM セッションの HTTPOnlyCookie ノブよりも優先されます。また、NSC_TMAS と NSC_AAAC はどちらも、セッションタイプ(VPN セッション、TM セッション、または nFactor 認証中)に関係なく、HTTPOnly とマークされます。
  • HTTPOnlyCookie ノブを無効にすると、VPN セッションに HTTPOnly フラグは設定されません。認証、承認、および監査シナリオでは、HttpOnly フラグは TM セッションノブの値に基づいて設定されます。

CLI を使用して HTTPOnly 機能を設定します

  • HTTPOnly フラグを有効にする

     set aaa parameter -httpOnlyCookie ENABLED
     <!--NeedCopy-->
    
  • HttpOnly 機能のステータスを確認してください

     show aaa parameter
     <!--NeedCopy-->
    

制限事項

  • HttpOnly機能を有効にすると、Citrix Secure Accessクライアントの[ホームページ]ボタンが機能しません。
  • HttpOnly フラグは従来の認証では設定されていません。
認証Cookieに HttpOnly フラグを強制する