Citrix ADC

Konfigurationsunterstützung für das Cookie-Attribut SameSite

Das Attribut sameSite gibt dem Browser an, ob das Cookie für den Cross-Site-Kontext oder nur für denselben Site-Kontext verwendet werden kann. Wenn auf eine Anwendung im Cross-Site-Kontext zugegriffen werden soll, kann sie dies auch nur über HTTPS-Verbindung tun. Einzelheiten siehe RFC6265.

Bis Februar 2020 wurde das Attribut sameSite nicht explizit in Citrix ADC festgelegt. Der Browser hat den Standardwert (Keine) übernommen. Die Nichteinstellung des SameSite Attributs hat keine Auswirkungen auf die Citrix Gateway - und Citrix ADC AAA-Bereitstellungen.

Bei bestimmten Browser-Upgrades, wie Google Chrome 80, gibt es eine Änderung des standardmäßigen domänenübergreifenden Verhaltens von Cookies. Das SameSite-Attribut kann auf einen der folgenden Werte festgelegt werden. Der Standardwert für Google Chrome ist auf Lax festgelegt. Für bestimmte Versionen anderer Browser ist der Standardwert für das Attribut sameSite möglicherweise immer noch auf Keine festgelegt.

  • Keine: Gibt an, dass der Browser Cookies im Cross-Site-Kontext nur für sichere Verbindungen verwendet.
  • Lax: Gibt an, dass der Browser Cookie für Anfragen auf dem gleichen Site-Kontext verwendet. Im Cross-Site-Kontext können nur sichere HTTP-Methoden wie GET-Anforderung das Cookie verwenden.
  • Strict: Verwenden Sie das Cookie nur im selben Site-Kontext.

Wenn das Cookie kein sameSite Attribut enthält, übernimmt Google Chrome die Funktionalität von SameSite = Lax. Daher gibt Google Chrome bei Bereitstellungen in einem iframe mit Cross-Site-Kontext, bei dem Cookies vom Browser eingefügt werden müssen, keine Site-Cross-Site-Cookies weiter. Infolgedessen wird der Iframe innerhalb der Website möglicherweise nicht geladen.

Ein neues Cookie-Attribut namens SameSite wird den virtuellen VPN- und Citrix ADC AAA-Servern hinzugefügt. Dieses Attribut kann auf globaler Ebene und auf virtueller Serverebene festgelegt werden.

Um das SameSite-Attribut zu konfigurieren, müssen Sie Folgendes ausführen:

  1. Festlegen des SameSite-Attributs für den virtuellen Server
  2. Cookies an das Patset binden (wenn der Browser websiteübergreifende Cookies löscht)

Festlegen des SameSite-Attributs mit der CLI

Verwenden Sie die folgenden Befehle, um das SameSite-Attribut auf der Ebene des virtuellen Servers festzulegen.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]

Verwenden Sie die folgenden Befehle, um das SameSite-Attribut auf globaler Ebene festzulegen.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]

Hinweis: Die Einstellung auf Ebene des virtuellen Servers hat Vorrang vor der Einstellung der globalen Ebene. Citrix empfiehlt, das Cookie-Attribut “SameSite” auf der Ebene des virtuellen Servers festzulegen.

Binden von Cookies an das Patset mit der CLI

Wenn der Browser siteübergreifende Cookies löscht, können Sie diese Cookie-Zeichenfolge an das vorhandene NS_Cookies_SameSite-Patset binden, sodass das sameSite-Attribut dem Cookie hinzugefügt wird.

Beispiel:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"

Festlegen des SameSite-Attributs mit der GUI

So legen Sie das SameSite-Attribut auf Ebene des virtuellen Servers fest:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.
  2. Wählen Sie einen virtuellen Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie im Abschnitt Grundeinstellungen auf das Symbol “Bearbeiten” und klicken Sie auf Mehr.
  4. Wählen Sie in SameSitedie Option nach Bedarf aus.

Kontrollkästchen "SameSite" auswählen

So legen Sie das SameSite-Attribut auf globaler Ebene fest:

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Authentifizierungseinstellungen ändern.

    Ändern der Authentifizierungseinstellungen

  2. Klicken Sie auf der Seite AAA-Parameter konfigurieren auf die Liste SameSite, und wählen Sie die gewünschte Option aus.

    Wählen Sie die Option "SameSite"

Konfigurationsunterstützung für das Cookie-Attribut SameSite