Citrix ADC

Citrix Gateway および認証仮想サーバー生成レスポンスのコンテンツセキュリティポリシーのレスポンスヘッダーのサポート

Citrix ADCリリースビルド13.0-76.29から、コンテンツセキュリティポリシー(CSP)レスポンスヘッダーは、Citrix Gateway および認証仮想サーバーで生成された応答でサポートされます。

Content-Security-Policy(CSP)応答ヘッダーは、クロスサイトスクリプティング(CSS)攻撃を回避するためにブラウザが使用するポリシーの組み合わせです。 HTTP CSP 応答ヘッダーを使用すると、Web サイト管理者は、特定のページのユーザーエージェントがロードできるリソースを制御できます。いくつかの例外を除いて、ポリシーには主にサーバーオリジンとスクリプトエンドポイントの指定が含まれます。これにより、クロスサイトスクリプティング攻撃から保護できます。 CSP ヘッダーは、ブラウザーがページをレンダリングする方法を変更し、CSS を含むさまざまなクロスサイトインジェクションから保護するように設計されています。ウェブサイトの適切な操作を妨げないように、ヘッダー値を正しく設定することが重要です。たとえば、ヘッダーがインライン JavaScript の実行を妨げるように設定されている場合、Web サイトはそのページでインライン JavaScript を使用してはいけません。

CSP 応答ヘッダーの利点は次のとおりです。

  • CSP 応答ヘッダーの主な機能は、CSS 攻撃を防ぐことです。
  • サーバーでは、コンテンツのロード元となるドメインを制限することに加えて、どのプロトコルを使用できるかを指定できます。たとえば(理想的にはセキュリティの観点から)、サーバーはすべてのコンテンツをHTTPSを使用してロードする必要があることを指定できます。
  • CSPは、「tmindex.html」や「homepage.html」などのファイルを保護することで、クロスサイトスクリプティング攻撃からCitrix ADCを保護するのに役立ちます。ファイル “tmindex.html” は認証に関連しており、ファイル “homepage.html” は公開されたアプリ/リンクに関連しています。

Citrix Gateway および認証仮想サーバーで生成されたレスポンスのコンテンツセキュリティポリシーヘッダーの構成

CSP ヘッダーを有効にするには、CSP HTTP ヘッダーを返すように Web サーバを設定する必要があります。

注意事項

  1. デフォルトでは、CSP ヘッダーは無効になっています。
  2. デフォルトの CSP ポリシーを有効または無効にするときは、次のコマンドを実行することをお勧めします。 Flush cache contentgroup loginstaticobjects
  3. tmindex.html、homepage.html などの CSP ポリシーを変更する場合は、httpd.confを変更することをお勧めします。httpd.confを変更するには、任意のXMLエディタでhttpd.confを開き、 タグDirectoryMatchまでスクロールダウンし 、次のディレクトリ「/netscaler/ns_gui/vpns」、「/netscaler/ns_gui/epa」を探し、「ヘッダーセットコンテンツセキュリティポリシー」を変更します。

CLIを使用して認証仮想サーバーおよびCitrix Gateway が生成する応答用にCSPを構成するには、コマンドプロンプトで次のコマンドを入力します。

set aaa parameter -defaultCSPHeader <ENABLE/DISABLE>

Citrix Gateway および認証仮想サーバーのCSPを構成するには、GUIを使用してレスポンスを生成します。

  1. Citrix Gateway > グローバル設定に移動し、[認証設定]の下の[ 認証AAA設定の変更 ]をクリックします。

    CSP global-1

  2. [ AAA パラメータの設定 ] ページで、[ デフォルト CSP ヘッダーで有効 ] フィールドを選択します。

    CSP global-2

Content-Security-Policy ヘッダーのカスタマイズの例

次に、CSP ヘッダーのカスタマイズで、次の 2 つの指定されたソースからのイメージとスクリプトのみをそれぞれ含める例を示します。https://company.fqdn.com, https://example.com.

構成例

add rewrite action modify_csp insert_http_header Content-Security-Policy "\"default-src 'self'; script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval'; connect-src 'self'; img-src http://localhost:* https://example.com 'self' data: http: https:; style-src 'self' 'unsafe-inline'; font-src 'self'; frame-src 'self'; child-src 'self' com.citrix.agmacepa://* citrixng://* com.citrix.nsgclient://*; form-action 'self'; object-src 'self'; report-uri /nscsp_violation/report_uri\""

add rewrite policy add_csp true modify_csp

bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE
Citrix Gateway および認証仮想サーバー生成レスポンスのコンテンツセキュリティポリシーのレスポンスヘッダーのサポート