ADC

Verwaltung von Inhaltstypen

Webserver fügen einen Content-Type-Header mit einer MIME-/Type-Definition für jeden Inhaltstyp hinzu. Webserver stellen viele verschiedene Arten von Inhalten bereit. Beispielsweise wird Standard-HTML der MIME-Typ „text/html“ zugewiesen. JPG-Bildern wird der Inhaltstyp „“ oder „image/jpg“ zugewiesen. Ein normaler Webserver kann verschiedene Arten von Inhalten bereitstellen, die alle im Content Type-Header durch den zugewiesenen MIME/Typ definiert sind.

Viele Web App Firewall-Filterregeln sind darauf ausgelegt, einen bestimmten Inhaltstyp zu filtern. Die Filterregeln gelten für einen Inhaltstyp wie HTML und sind oft unangemessen, wenn ein anderer Inhaltstyp (z. B. Bilder) gefiltert wird. Daher versucht die Web App Firewall, den Inhaltstyp von Anfragen und Antworten zu ermitteln, bevor sie sie filtert. Wenn ein Webserver oder Browser einer Anfrage oder Antwort keinen Content-Type-Header hinzufügt, wendet die Web App Firewall einen Standard-Inhaltstyp an und filtert den Inhalt entsprechend.

Der Standard-Inhaltstyp ist normalerweise „application/octet-stream“ mit der allgemeinsten MIME-/Typdefinition. Der MIME/Typ ist für jeden Inhaltstyp geeignet, den ein Webserver wahrscheinlich bereitstellen wird. Stellt der Web App Firewall jedoch nicht viele Informationen zur Verfügung, sodass sie die geeignete Filterung auswählen kann. Wenn ein geschützter Webserver so konfiguriert ist, dass er genaue Inhaltstyp-Header hinzufügt, können Sie dann ein Profil für den Webserver erstellen und ihm einen Standard-Inhaltstyp zuweisen. Dies wird getan, um sowohl die Geschwindigkeit als auch die Genauigkeit der Filterung zu verbessern.

Sie können auch eine Liste der zulässigen Anforderungsinhaltstypen für ein bestimmtes Profil konfigurieren. Wenn diese Funktion konfiguriert ist und die Web App Firewall eine Anfrage filtert, die keinem der zulässigen Inhaltstypen entspricht, blockiert sie die Anforderung.

Anfragen müssen immer entweder vom Typ „application/x-www-form-urlencoded“, „multipart/form-data“ oder „text/x-gwt-rpc“ sein. Die Web App Firewall blockiert jede Anfrage, für die ein anderer Inhaltstyp festgelegt wurde.

Hinweis

Sie können die Inhaltstypen „application/x-www-form-urlencoded“ oder „multipart/form-data“ nicht in die Liste der zulässigen Antwortinhaltstypen aufnehmen.

Um den Standardinhalt für Anfragen festzulegen, verwenden Sie die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw profile <name> -requestContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp „text/html“ als Standard für das angegebene Profil festgelegt:

set appfw profile profile1 -requestContentType "text/html"
save ns config
<!--NeedCopy-->

Um den benutzerdefinierten Standardanforderungsinhalt zu entfernen, geben Sie Folgendes ein: Verwenden Sie die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unset appfw profile <name> -requestContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Standard-Inhaltstyp „text/html“ für das angegebene Profil aufgehoben, sodass der Typ auf „application/octet-stream“ zurückgesetzt werden kann:

unset appfw profile profile1 -requestContentType "text/html"
save ns config
<!--NeedCopy-->

Hinweis

Verwenden Sie immer den letzten Inhaltstype-Header für die Verarbeitung und entfernen Sie alle verbleibenden Inhaltstype-Header, falls vorhanden, um sicherzustellen, dass der Back-End-Server eine Anfrage mit nur einem Inhaltstyp empfängt.

Um Anfragen zu blockieren, die umgangen werden können, fügen Sie eine Web App Firewall-Richtlinie mit der Regel HTTP.REQ.HEADER („content-type“) .COUNT.GT (1) ‘und einem Profil als appfw_block hinzu.

Wenn eine Anfrage ohne Content-Type-Header empfangen wird oder wenn die Anfrage einen Content-Type-Header ohne Wert hat, wendet die Web App Firewall den konfigurierten RequestContentType-Wert an und verarbeitet die Anfrage entsprechend.

Um den Standardinhalt der Antwort festzulegen, geben Sie Folgendes ein: Verwenden Sie die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw profile <name> -responseContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp „text/html“ als Standard für das angegebene Profil festgelegt:

set appfw profile profile1 -responseContentType "text/html"
save ns config
<!--NeedCopy-->

Um den benutzerdefinierten Standardantwortinhalt zu entfernen, geben Sie Folgendes ein: Verwenden Sie die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unset appfw profile <name> -responseContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Standard-Inhaltstyp „text/html“ für das angegebene Profil aufgehoben, sodass der Typ auf „application/octet-stream“ zurückgesetzt werden kann:

unset appfw profile profile1 -responseContentType "text/html"
save ns config
<!--NeedCopy-->

So fügen Sie mithilfe der Befehlszeilenschnittstelle einen Inhaltstyp zur Liste der zulässigen Inhaltstypen hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • bind appfw profile <name> -ContentType <contentTypeName>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp „text/shtml“ zur Liste der zulässigen Inhaltstypen für das angegebene Profil hinzugefügt:

bind appfw profile profile1 -contentType "text/shtml"
save ns config
<!--NeedCopy-->

So entfernen Sie mithilfe der Befehlszeilenschnittstelle einen Inhaltstyp aus der Liste der zulässigen Inhaltstypen

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unbind appfw profile <name> -ContentType <contentTypeName>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp „text/shtml“ aus der Liste der zulässigen Inhaltstypen für das angegebene Profil entfernt:

unbind appfw profile profile1 -contentType "text/shtml"
save ns config
<!--NeedCopy-->

URL-codierte und aus mehreren Formularen bestehende Inhaltstypen verwalten

Mit der Citrix ADC Web App Firewall können Sie jetzt URL-kodierte und Multipart-Form-Inhaltstypen für Formulare konfigurieren. Die Konfiguration des Inhaltstyps ähnelt der XML- und JSON-Liste. Basierend auf der Konfiguration klassifiziert die Web App Firewall die Anfragen und überprüft, ob URL-codierte oder aus mehreren Formularen bestehende Inhaltstypen vorliegen.

Um das Web App Firewall-Profil mit den Inhaltstypen Urlencoded und Multipart-Form zu konfigurieren, geben Sie an der Befehlszeile Folgendes ein:

bind appfw profile p2 -contentType <string>

Beispiel:

bind appfw profile p2 -contentType UrlencodedFormContentType

bind appfw profile p2 -ContentType appfwmultipartform

Um die standardmäßigen und erlaubten Inhaltstypen mithilfe der GUI zu verwalten

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Profile.
  2. Wählen Sie im Detailbereich das zu konfigurierende Profil aus, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Web App Firewall-Profil konfigurieren wird angezeigt.
  3. Klicken Sie im Dialogfeld Web App Firewall-Profil konfigurieren auf die Registerkarte Einstellungen .
  4. Scrollen Sie auf der Registerkarte Einstellungen etwa bis zur Hälfte nach unten zum Bereich Inhaltstyp.
  5. Konfigurieren Sie im Bereich Inhaltstyp den standardmäßigen Inhaltstyp für Anfrage oder Antwort:
    • Um den Standard-Inhaltstyp für Anfragen zu konfigurieren, geben Sie die MIME-/Typdefinition des Inhaltstyps, den Sie verwenden möchten, in das Textfeld Standardanforderung ein.
    • Um den Standard-Inhaltstyp der Antwort zu konfigurieren, geben Sie die MIME-/Typdefinition des Inhaltstyps, den Sie verwenden möchten, in das Textfeld Standardantwort ein.
    • Um einen neuen zulässigen Inhaltstyp zu erstellen, klicken Sie auf Hinzufügen. Das Dialogfeld Zulässigen Inhaltstyp hinzufügen wird angezeigt.
    • Um einen vorhandenen zulässigen Inhaltstyp zu bearbeiten, wählen Sie diesen Inhaltstyp aus, und klicken Sie dann auf Öffnen. Das Dialogfeld Zulässigen Inhaltstyp ändern wird angezeigt.
  6. Um die zulässigen Inhaltstypen zu verwalten, klicken Sie auf Zulässige Inhaltstypen verwalten.
  7. Um einen neuen Inhaltstyp hinzuzufügen oder einen vorhandenen Inhaltstyp zu ändern, klicken Sie auf Hinzufügen oder Öffnen, und führen Sie im Dialogfeld Zulässigen Inhaltstyp hinzufügen oder Zulässigen Inhaltstyp ändern die folgenden Schritte aus.
    1. Aktivieren/deaktivieren Sie das Kontrollkästchen Aktiviert, um den Inhaltstyp in die Liste der zulässigen Inhaltstypen aufzunehmen oder aus dieser Liste auszuschließen.

    2. Geben Sie in das Textfeld Inhaltstyp einen regulären Ausdruck ein, der den Inhaltstyp beschreibt, den Sie hinzufügen oder den vorhandenen regulären Inhaltstyp ändern möchten.

      Inhaltstypen werden genauso formatiert wie MIME-Typbeschreibungen.

      Hinweis:

      Sie können jeden gültigen MIME-Typ in die Liste der zulässigen Inhaltstypen aufnehmen. Da viele Dokumenttypen aktive Inhalte und daher potenziell bösartige Inhalte enthalten können, müssen Sie Vorsicht walten lassen, wenn Sie MIME-Typen zu dieser Liste hinzufügen.

    3. Geben Sie eine kurze Beschreibung an, aus der der Grund für das Hinzufügen dieses bestimmten MIME-Typs zur Liste der zulässigen Inhaltstypen erklärt wird.

    4. Klicken Sie auf Erstellen oder OK, um Ihre Änderungen zu speichern.

  8. Klicken Sie auf Schließen, um das Dialogfeld „Zulässige Inhaltstypen verwalten“ zu schließen und zur Registerkarte „ Einstellungen “ zurückzukehren.
  9. Klicken Sie auf OK, um die Änderungen zu speichern.

So verwalten Sie URL-kodierte und mehrteilige Inhaltstypen mithilfe der Citrix ADC ADC-GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Profile.
  2. Wählen Sie im Detailbereich das zu konfigurierende Profil aus, und klicken Sie dann auf Bearbeiten.
  3. Wählen Sie auf der Seite Web App Firewall-Profil konfigurierenim Abschnitt Erweiterte Einstellungendie Profileinstellungen aus.
  4. Stellen Sie im Abschnitt Inspected Content Type die folgenden Parameter ein:

    1. application/x-www-form-urlencoded. Markieren Sie das Kontrollkästchen, um den URL-codierten Inhaltstyp zu überprüfen.
    2. Mehrteile/Formulardaten. Wählen Sie das Häkchen aus, um den Inhaltstyp MultiPart-Form zu überprüfen.
  5. Klicken Sie auf OK.

Verwalten von Inhalten