Citrix ADC

Compatibilidad de configuración para el atributo de cookie SameSite

El atributo SameSite indica al explorador si la cookie se puede utilizar para el contexto entre sitios o solo para el contexto del mismo sitio. Además, si una aplicación tiene la intención de ser accedida en contexto entre sitios, entonces solo puede hacerlo a través de una conexión HTTPS. Para obtener más información, consulte RFC6265.

Hasta febrero de 2020, el atributo SameSite no se estableció explícitamente en Citrix ADC. El explorador tomó el valor predeterminado (Ninguno). La falta de configuración del atributo SameSite no afectó a las implementaciones de Citrix Gateway y Citrix ADC AAA.

Con la actualización de ciertos exploradores, como Google Chrome 80, se produce un cambio en el comportamiento predeterminado entre dominios de las cookies. El atributo SameSite se puede establecer en uno de los valores siguientes. El valor predeterminado de Google Chrome se establece en Lax. Para ciertas versiones de otros exploradores, el valor predeterminado para el atributo SameSite todavía puede estar establecido en Ninguno.

  • Ninguno: Indica que el explorador utiliza cookies en el contexto entre sitios solo en conexiones seguras.
  • Lax: Indica el explorador para utilizar la cookie para las solicitudes en el contexto del mismo sitio. En el contexto entre sitios, solo los métodos HTTP seguros como la solicitud GET pueden usar la cookie.
  • Estricto: Utilice la cookie solo en el mismo contexto del sitio.

Si no hay ningún atributo SameSite en la cookie, Google Chrome asume la funcionalidad de SameSite = Lax. Como resultado, para implementaciones dentro de un iframe con contexto entre sitios que requieren que el explorador inserte cookies, Google Chrome no comparte cookies entre sitios. Como resultado, es posible que el iframe dentro del sitio web no se cargue.

Se agrega un nuevo atributo de cookie denominado SameSite a los servidores virtuales VPN y Citrix ADC AAA. Este atributo se puede establecer en el nivel global y en el nivel de servidor virtual.

Para configurar el atributo SameSite, debe realizar lo siguiente:

  1. Establecer el atributo SameSite para el servidor virtual
  2. Enlazar las cookies al parche (si el explorador deja las cookies entre sitios)

Establecer el atributo SameSite mediante la CLI

Para establecer el atributo SameSite en el nivel del servidor virtual, utilice los siguientes comandos.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]

Para establecer el atributo SameSite en el nivel global, utilice los siguientes comandos.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]

Nota: La configuración de nivel de servidor virtual tiene preferencia sobre la configuración de nivel global. Citrix recomienda establecer el atributo de cookie de SameSite en el nivel del servidor virtual.

Vinculación de cookies al patset mediante el uso de la CLI

Si el explorador elimina las cookies entre sitios, puede vincular esa cadena de cookies al parche NS_Cookies_SAMESITE existente para que el atributo SameSite se agregue a la cookie.

Ejemplo:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"

Establecer el atributo SameSite mediante la interfaz gráfica de usuario

Para establecer el atributo SameSite en el nivel del servidor virtual:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. Haga clic en el icono de edición en la sección Configuración básica y haga clic en Más.
  4. En SameSite, seleccione la opción según sea necesario.

Seleccionar la casilla de verificación SameSite

Para establecer el atributo SameSite en el nivel global:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Cambiar configuración de autenticación.

    Cambiar la configuración de autenticación

  2. En la página Configurar parámetro AAA, haga clic en la lista SameSite y seleccione la opción según sea necesario.

    Seleccione la opción SameSite

Compatibilidad de configuración para el atributo de cookie SameSite