Gateway

强制对身份验证 cookie 使用 HttpOnly 标志

从 Citrix Gateway 版本 13.0-89.x 及更高版本开始,HttpOnly 标志可用于 VPN 场景的身份验证 Cookie,即 NSC_AAAC 和 NSC_TMAS Cookie。NSC_TMAS 身份验证 cookie 在 nFactor 身份验证期间使用,NSC_AAAC cookie 用于经过身份验证的会话。Cookie 上的 HttpOnly 标志使用 JavaScript 文档 cookie 选项限制 cookie 的访问。这有助于防止 Cookie 因跨站脚本编写而被盗用。

支持的场景

nFactor 身份验证支持 HTTPOnly 标志。

将 Citrix ADC AAA 参数的 HttpOnlyCookie 旋钮与 tmsession 的 HttpOnlyCookie 旋钮一起使用时的行为:

  • 当启用身份验证、授权和审核参数的 httpOnlyCookie 旋钮并使用 nFactor 身份验证时,身份验证、授权和审核参数的 HttpOnlyCookie 旋钮会覆盖 TM 会话的 HttpOnlyCookie 旋钮。此外,无论会话类型如何;无论是 VPN 会话、TM 会话还是 nFactor 身份验证期间,NSC_TMAS 和 NSC_AAAC 都被标记为 HttpOnly。
  • 如果禁用 HttpOnlyCookie 旋钮,则不会为 VPN 会话设置 HttpOnly 标志。对于身份验证、授权和审核方案,HttpOnly 标志是根据 TM 会话旋钮值设置的。

使用 CLI 配置 HttpOnly 功能

  • 启用 HTTPOnly 标志

     set aaa parameter -httpOnlyCookie ENABLED
     <!--NeedCopy-->
    
  • 检查 HttpOnly 功能的状态

     show aaa parameter
     <!--NeedCopy-->
    

限制

  • 启用 HttpOnly 功能后,Citrix Secure Access 客户端上的“主页”按钮不起作用。
  • 在任何经典身份验证中均未设置 HttpOnly 标志。
强制对身份验证 cookie 使用 HttpOnly 标志