Citrix ADC

Compatibilidad del encabezado de respuesta de Content Security Policy para Citrix Gateway y respuestas generadas por servidores virtuales de autenticación

A partir de la compilación 13.0-76.29 de la versión de Citrix ADC, el encabezado de respuesta Content-Security-Policy (CSP) es compatible con Citrix Gateway y las respuestas generadas por el servidor virtual de autenticación.

El encabezado de respuesta de Content-Security-Policy (CSP) es una combinación de directivas que utiliza el explorador para evitar ataques de scripts cruzadas (CSS). El encabezado de respuesta HTTP CSP permite a los administradores de sitios web controlar los recursos que el agente de usuario puede cargar para una página determinada. Salvo algunas excepciones, las directivas implican principalmente la especificación de orígenes de servidores y puntos finales de script. Esto ayuda a protegerse contra los ataques de scripts entre sitios. El encabezado CSP está diseñado para modificar la forma en que los exploradores procesan las páginas y, por lo tanto, para protegerse de varias inyecciones entre sitios, incluido CSS. Es importante establecer el valor del encabezado correctamente, de forma que no impida el correcto funcionamiento del sitio web. Por ejemplo, si el encabezado está configurado para evitar la ejecución de JavaScript en línea, el sitio web no debe utilizar JavaScript en línea en sus páginas.

Las siguientes son las ventajas del encabezado de respuesta CSP.

  • La función principal de un encabezado de respuesta CSP es evitar ataques CSS.
  • Además de restringir los dominios desde los que se puede cargar el contenido, el servidor puede especificar qué protocolos se pueden utilizar; por ejemplo (e idealmente, desde el punto de vista de la seguridad), un servidor puede especificar que todo el contenido debe cargarse mediante HTTPS.
  • CSP ayuda a proteger Citrix ADC de ataques de scripts entre sitios protegiendo archivos como “tmindex.html” y “homepage.html. El archivo “tmindex.html” está relacionado con la autenticación y el archivo “homepage.html” está relacionado con las aplicaciones/enlaces publicados.

Configuración del encabezado Content-Security-Policy para Citrix Gateway y respuestas generadas por servidores virtuales de autenticación

Para habilitar el encabezado CSP, debe configurar el servidor web para que devuelva el encabezado HTTP CSP.

Puntos a tener en cuenta

  1. De forma predeterminada, el encabezado CSP está inhabilitado.
  2. Al habilitar o inhabilitar la directiva CSP predeterminada, se recomienda ejecutar el siguiente comando. Flush cache contentgroup loginstaticobjects
  3. Para modificar la directiva CSP para tmindex.html, homepage.html, etc., se recomienda modificar httpd.conf. Para modificar httpd.conf, abra httpd.conf en cualquier editor xml, desplácese hacia abajo hasta la etiqueta DirectoryMatch y busque los siguientes directorios, “/netscaler/ns_gui/vpns”, “/netscaler/ns_gui/epa” y modifique “Content Security-Policy”.

Para configurar CSP para el servidor virtual de autenticación y las respuestas generadas por Citrix Gateway mediante CLI, escriba el siguiente comando en el símbolo del sistema:

set aaa parameter -defaultCSPHeader <ENABLE/DISABLE>

Para configurar CSP para Citrix Gateway y las respuestas generadas por el servidor virtual de autenticación mediante GUI.

  1. Vaya a Citrix Gateway > Configuración globaly haga clic en Cambiar configuración AAA de autenticación en Configuración de autenticación.

    CSP global-1

  2. En la página Configurar parámetros AAA, seleccione el campo Habilitado en encabezado CSP predeterminado .

    CSP global-2

Ejemplo de personalización del encabezado Content-Security-Policy

A continuación se muestra un ejemplo de personalización del encabezado CSP para incluir imágenes y scripts solo de los dos orígenes especificados siguientes, respectivamente, https://company.fqdn.com, https://example.com.

Configuración de ejemplo

add rewrite action modify_csp insert_http_header Content-Security-Policy "\"default-src 'self'; script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src http://localhost:* https://example.com 'self' data: http: https:; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-src 'self'; child-src 'self' com.citrix.agmacepa://* citrixng://* com.citrix.nsgclient://*; form-action 'self'; object-src 'self'; report-uri /nscsp_violation/report_uri\""

add rewrite policy add_csp true modify_csp

bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE
Compatibilidad del encabezado de respuesta de Content Security Policy para Citrix Gateway y respuestas generadas por servidores virtuales de autenticación