Citrix ADC

Unterstützung für Response Header für Content Security Policy für Citrix Gateway und Authentifizierungsserver generierte Antworten

Ausgehend von Citrix ADC Release Build 13.0-76.29 wird der Response-Header für Content-Security-Policy (CSP) für Citrix Gateway und vom Authentifizierungsserver generierte Antworten unterstützt.

Der Response-Header für Content-Security-Policy (CSP) ist eine Kombination von Richtlinien, die der Browser verwendet, um Cross Site Scripting (CSS) -Angriffe zu vermeiden. Der HTTP-CSP-Antwortheader ermöglicht es Website-Administratoren, Ressourcen zu steuern, die der Benutzeragent für eine bestimmte Seite laden darf. Mit wenigen Ausnahmen beinhalten Richtlinien hauptsächlich die Angabe von Serverursprüngen und Skript-Endpunkten. Dies schützt vor Cross-Site-Scripting-Angriffen. Der CSP-Header wurde entwickelt, um die Art und Weise zu ändern, wie Browser Seiten rendern, und schützt damit vor verschiedenen standortübergreifenden Einschleusungen, einschließlich CSS. Es ist wichtig, den Header-Wert korrekt einzustellen, so dass der ordnungsgemäße Betrieb der Website nicht verhindert wird. Wenn der Header beispielsweise so eingestellt ist, dass er die Ausführung von Inline-JavaScript verhindert, darf die Website auf ihren Seiten kein Inline-JavaScript verwenden.

Im Folgenden sind die Vorteile des CSP-Antwortheaders aufgeführt.

  • Die Hauptfunktion eines CSP-Antwortheaders besteht darin, CSS-Angriffe zu verhindern.
  • Neben der Einschränkung der Domänen, aus denen Inhalte geladen werden können, kann der Server angeben, welche Protokolle verwendet werden dürfen. Zum Beispiel (und idealerweise aus Sicherheitssicht) kann ein Server angeben, dass alle Inhalte unter Verwendung von HTTPS geladen werden müssen.
  • CSP hilft dabei, Citrix ADC vor standortübergreifenden Scripting-Angriffen zu schützen, indem er Dateien wie “tmindex.html” und “homepage.html” sichert. Die Datei “tmindex.html” bezieht sich auf die Authentifizierung und die Datei “homepage.html” bezieht sich auf die veröffentlichten Apps/Links.

Konfigurieren von Content-Security-Policy-Header für Citrix Gateway und vom Authentifizierungsserver generierte Antworten

Um den CSP-Header zu aktivieren, müssen Sie Ihren Webserver so konfigurieren, dass er den CSP-HTTP-Header zurückgibt.

Beachtenswerte Punkte

  1. Standardmäßig ist der CSP-Header deaktiviert.
  2. Während Sie die Standard-CSP-Richtlinie aktivieren/deaktivieren, wird empfohlen, den folgenden Befehl auszuführen. Flush cache contentgroup loginstaticobjects
  3. Um die CSP-Richtlinie für tmindex.html, homepage.html usw. zu ändern, wird empfohlen, sie zu ändern httpd.conf. Um httpd.conf zu ändern , öffnen Sie httpd.conf in einem beliebigen XML-Editor, scrollen Sie nach unten zum Tag DirectoryMatch und suchen Sie die folgenden Verzeichnisse “/netscaler/ns_gui/vpns”, “/netscaler/ns_gui/epa”, und ändern Sie “Header Set Content-Security-Policy”.

Um CSP für den Authentifizierungsserver und von Citrix Gateway generierte Antworten mit CLI zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set aaa parameter -defaultCSPHeader <ENABLE/DISABLE>

Um CSP für Citrix Gateway und den virtuellen Authentifizierungsserver zu konfigurieren, generierten Antworten mit GUI.

  1. Navigieren Sie zu Citrix Gateway > Globale Einstellungenund klicken Sie unter Authentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierung ändern.

    CSP global-1

  2. Wählen Sie auf der Seite AAA-Parameter konfigurieren das Feld In Standard-CSP-Header aktiviert aus.

    CSP global-2

Ein Beispiel für die Anpassung der Kopfzeile von Content-Security-Policy

Im Folgenden finden Sie ein Beispiel für die Anpassung von CSP-Headern, um Images und Skripts nur aus den folgenden beiden angegebenen Quellen einzuschließen: https://company.fqdn.com, https://example.com.

Beispielkonfiguration

add rewrite action modify_csp insert_http_header Content-Security-Policy "\"default-src 'self'; script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src http://localhost:* https://example.com 'self' data: http: https:; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-src 'self'; child-src 'self' com.citrix.agmacepa://* citrixng://* com.citrix.nsgclient://*; form-action 'self'; object-src 'self'; report-uri /nscsp_violation/report_uri\""

add rewrite policy add_csp true modify_csp

bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE
Unterstützung für Response Header für Content Security Policy für Citrix Gateway und Authentifizierungsserver generierte Antworten