ADC

SameSite cookie 属性

为了安全的网络通信,谷歌已经授权使用 SameSite cookie 属性。通过遵守谷歌 Chrome 的新 SameSite 政策,Citrix ADC 设备可以使用 set-cookie 标题中设置的 SameSite 属性来管理第三方 Cookie。Cookie 设置可缓解攻击并提供安全的网络通信。

直到 2020 年 2 月,该 SameSite 属性尚未在 cookie 中明确设置。浏览器将默认值视为 “无”。但是,随着某些浏览器升级(例如谷歌 Chrome 80),Cookie 中的默认跨域行为会发生变化。

SameSite属性设置为以下值之一,对于 Google Chrome 浏览器,默认值设置为 “Lax”。

。指示浏览器仅在安全连接上下文中使用 cookie 来处理跨站点上下文中的请求。

Lax。表示浏览器在同一站点上下文中使用 cookie 处理请求。在跨网站上下文中,只有像 GET 请求这样的安全 HTTP 方法才能使用 cookie。

严格。仅当用户明确请求域时才使用 cookie。

注意 : 如果 set-Cookies(包括防火墙会话 Cookie)具有 SameSite 属性,并且如果 Web 应用程序防火墙配置文件中启用了 addcookiesamesite 属性标志,则 SameSite 属性将根据配置文件中配置的值覆盖。

使用 CLI 在 Web App Firewall 配置文件中配置 Samesite 属性

要配置 SameSite 属性,必须完成以下步骤:

  1. 启用 SameSite cookie 属性。
  2. 为 appfw 会话 Cookie 设置 cookie 的 cookie 属性。

在命令提示符下,键入:

set appfw profile <profile-name> –insertCookieSameSiteAttribute ( ON | OFF)

示例:

set appfw profile p1 –insertCookieSameSiteAttribute ON

在命令提示符下,键入:

set appfw profile <profile-name> – cookieSameSiteAttribute ( LAX | NONE | STRICT )

示例:

set appfw profile p1 – cookieSameSiteAttribute LAX

属性类型在哪里,

。Cookie 属性 Samesite 设置为 “无”,对于所有 WAF 和应用程序 Cookie,都标记为安全。

Lax。对于所有 WAF 和应用程序 Cookie,Cookie 属性 Samesite 都设置为“Lax”。

严格。对于所有 WAF 和应用程序 Cookie,Cookie 属性 Samesite 都设置为“Lax”。

  1. 导航到安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择一个配置文件,然后单击 编辑
  3. Citrix Web App Firewall 配置文件 页面中,单击“高级设置”下的“配置文件设置”。
  4. 配置文件设置部分设置 以下参数:

    a. 插入 cookie Samesite 属性。选中该复选框以启用 cookie Samesite 属性。 b. 饼干 Samesite 属性。从下拉列表中选择一个选项以设置 Samesite cookie 值。

  5. 点击 确定完成

Citrix ADC GUI 上的 Samesite cookie 属性设置

SameSite cookie 属性