Citrix Gateway

Prise en charge de la configuration de l’attribut de cookie SameSite

L’ attribut SameSite indique au navigateur si le cookie peut être utilisé pour un contexte intersite ou uniquement pour un contexte de même site. Si une application a l’intention d’être accessible dans le contexte intersite, elle ne peut le faire que via la connexion HTTPS. Pour plus de détails, consultez la RFC6265.

Jusqu’en février 2020, l’attribut SameSite n’était pas explicitement défini dans l’appliance Citrix ADC. Le navigateur a pris la valeur par défaut (Aucun). La non-définition de l’attribut SameSite n’a pas eu d’impact sur les déploiements Citrix Gateway et Citrix ADC AAA.

La mise à niveau de certains navigateurs, tels que Google Chrome 80, modifie le comportement par défaut des cookies entre domaines. L’attribut SameSite peut être défini sur l’une des valeurs suivantes. La valeur par défaut de Google Chrome est définie sur Lax. Pour certaines versions d’autres navigateurs, la valeur par défaut de l’attribut SameSite peut toujours être définie sur Aucun.

  • Aucun : indique au navigateur qu’il doit utiliser le cookie dans un contexte intersite uniquement sur les connexions sécurisées.
  • Lax : indique que le navigateur doit utiliser le cookie pour les demandes sur le contexte du même site. Dans le contexte inter-site, seules les méthodes HTTP sûres comme la requête GET peuvent utiliser le cookie.
  • Strict : utilisez le cookie uniquement dans le même contexte de site.

S’il n’y a pas d’attribut SameSite dans le cookie, Google Chrome assume la fonctionnalité de SameSite = Lax. Par conséquent, pour les déploiements au sein d’une iframe avec un contexte intersite nécessitant l’insertion de cookies par le navigateur, Google Chrome ne partage pas les cookies intersites. Par conséquent, il se peut que l’iframe du site Web ne se charge pas.

Un nouvel attribut de cookie nommé SameSite est ajouté aux serveurs virtuels VPN et Citrix ADC AAA. Cet attribut peut être défini au niveau global et au niveau du serveur virtuel.

Pour configurer l’attribut SameSite, vous devez effectuer les opérations suivantes :

  1. Définir l’attribut SameSite du serveur virtuel
  2. Liez les cookies au patset (si le navigateur supprime les cookies intersites sont déposés par le navigateur)

Définition de l’attribut SameSite à l’aide de l’interface de ligne de commande

Pour définir l’attribut SameSite au niveau du serveur virtuel, utilisez les commandes suivantes.

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Pour définir l’attribut SameSite au niveau global, utilisez les commandes suivantes.

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]
<!--NeedCopy-->

Remarque : Le paramètre de niveau du serveur virtuel est prioritaire sur le paramètre de niveau global. Citrix recommande de définir l’attribut de SameSite cookie au niveau du serveur virtuel.

Liaison des cookies à patset à l’aide de l’interface de ligne de commande

Si le navigateur supprime les cookies intersites, vous pouvez lier cette chaîne de cookies au ns_cookies_SameSite patset existant afin que l’attribut SameSite soit ajouté au cookie.

Exemple :

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"
<!--NeedCopy-->

Définition de l’attribut SameSite à l’aide de l’interface graphique

Pour définir l’attribut SameSite au niveau du serveur virtuel, procédez comme suit :

  1. Accédez à Citrix Gateway > Virtual Servers.
  2. Sélectionnez un serveur virtuel et cliquez sur Modifier.
  3. Sélectionnez l’icône de modification dans la section Paramètres de base, puis cliquez sur Plus.

    Cliquez sur Plus dans les paramètres de base

  4. Dans SameSite, sélectionnez l’option si nécessaire.

    ![Set SameSite check box](/en-us/citrix-gateway/media/samesite-gateway-virtualserver.png)

Pour définir l’attribut SameSite au niveau global, procédez comme suit :

  1. Accédez à Citrix Gateway > Paramètres globaux > Modifier les paramètres globaux.
  2. Cliquez sur l’onglet Sécurité.
  3. Dans SameSite, sélectionnez l’option si nécessaire.

    ![Select SameSite check box](/en-us/citrix-gateway/media/samesite-gateway-global-setting.png)

Prise en charge de la configuration de l’attribut de cookie SameSite