强制对身份验证 cookie 使用 HttpOnly 标志
从 NetScaler Gateway 版本 13.1-37.x 及更高版本开始,HttpOnly 标志在 VPN 场景的身份验证 cookie 上可用,即 NSC_AAAC 和 NSC_TMAS cookie。NSC_TMAS 身份验证 cookie 在 nFactor 身份验证期间使用,NSC_AAAC cookie 用于经过身份验证的会话。Cookie 上的 HttpOnly 标志使用 JavaScript 文档 cookie 选项限制 cookie 的访问。这有助于防止 Cookie 因跨站脚本编写而被盗用。
支持的场景
nFactor 身份验证支持 HTTPOnly 标志。
将 NetScaler AAA 参数的 HttpOnlyCookie 旋钮与 tmsession 的 HttpOnlyCookie 旋钮一起使用时的行为:
- 当启用身份验证、授权和审核参数的 httpOnlyCookie 旋钮并使用 nFactor 身份验证时,身份验证、授权和审核参数的 HttpOnlyCookie 旋钮会覆盖 TM 会话的 HttpOnlyCookie 旋钮。此外,无论会话类型如何;无论是 VPN 会话、TM 会话还是 nFactor 身份验证期间,NSC_TMAS 和 NSC_AAAC 都被标记为 HttpOnly。
- 如果禁用 HttpOnlyCookie 旋钮,则不会为 VPN 会话设置 HttpOnly 标志。对于身份验证、授权和审核方案,HttpOnly 标志是根据 TM 会话旋钮值设置的。
使用 CLI 配置 HttpOnly 功能
-
启用 HTTPOnly 标志
set aaa parameter -httpOnlyCookie ENABLED -
检查 HttpOnly 功能的状态
show aaa parameter
限制
- 启用 HttpOnly 功能后,Citrix Secure Access 客户端上的“主页”按钮不起作用。
- 在任何经典身份验证中均未设置 HttpOnly 标志。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
强制对身份验证 cookie 使用 HttpOnly 标志
已复制!
失败!