In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

SameSite cookie 属性的配置支持

February 25, 2021
贡献者: 
C

SameSite 属性指示浏览器能够将 cookie 用于跨站点环境还是仅用于同一站点环境。此外,如果打算在跨站点环境中访问某个应用程序,该应用程序只能通过 HTTPS 连接进行访问。有关详细信息,请参阅 RFC6265。

截至 2020 年 2 月,Citrix ADC 中没有明确设置 SameSite 属性。浏览器采用了默认值 (None)。未设置 SameSite 属性不会影响 Citrix Gateway 和 Citrix ADC AAA 部署。

随着某些浏览器的升级,例如 Google Chrome 80,cookie 的默认跨域行为会发生变化。可以将 SameSite 属性设置为以下值之一。Google Chrome 的默认值设置为 Lax。对于某些版本的其他浏览器,SameSite 属性的默认值仍可能设置为“None”。

  • None:表示浏览器仅在安全连接中在跨站点环境中使用 cookie。
  • Lax: 表示浏览器在同一站点环境中使用 cookie 处理请求。在跨网站环境中,只有像 GET 请求这样的安全 HTTP 方法才能使用 cookie。
  • Strict(严格):仅在同一站点环境中使用 cookie。

如果 cookie 中没有 SameSite 属性,Google Chrome 将假定 SameSite = Lax 的功能。 因此,对于需要浏览器插入 cookie 的跨站点环境的 iframe 中的部署,Google Chrome 不会共享跨站点 cookie。因此,Web 站点中的 iframe 可能无法加载。

名为 SameSite 的新 cookie 属性将添加到 VPN 和 Citrix ADC AAA 虚拟服务器中。可以在全局级别和虚拟服务器级别设置此属性。

要配置 SameSite 属性,必须执行以下操作:

  1. 为虚拟服务器设置 SameSite 属性
  2. 将 cookie 绑定到 patset(如果浏览器丢弃跨站 cookie)

使用 CLI 设置 SameSite 属性

要在虚拟服务器级别设置 SameSite 属性,请使用以下命令。

set vpn vserver VP1 -SameSite  [ STRICT | LAX | None ]
set aaa vserver VP1 -SameSite  [ STRICT | LAX | None ]

要在全局级别设置 SameSite 属性,请使用以下命令。

set vpn param VP1 -SameSite  [ STRICT | LAX | None ]
set aaa param VP1 -SameSite  [ STRICT | LAX | None ]

注意:虚拟服务器级别设置的优先级高于全局级别设置。Citrix 建议在虚拟服务器级别设置 SameSite cookie 属性。

如果浏览器丢弃跨站点 cookie,您可以将该 cookie 字符串绑定到现有 ns_cookies_SameSite patset,以便将 SameSite 属性添加到 cookie 中。

示例:

bind patset ns_cookies_SameSite "NSC_TASS"
bind patset ns_cookies_SameSite "NSC_TMAS"

使用 GUI 设置 SameSite 属性

要在虚拟服务器级别设置 SameSite 属性,请执行以下操作:

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。
  2. 选择虚拟服务器,然后单击 Edit(编辑)。
  3. 单击 Basic Settings(基本设置)部分中的编辑图标,然后单击 More(更多)。
  4. SameSite 中,根据需要选择该选项。

选中“SameSite”复选框

要在全局级别设置 SameSite 属性,请执行以下操作:

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Change Authentication Settings(更改身份验证设置)。

    更改身份验证设置

  2. Configure AAA Parameter(配置 AAA 参数)页面中,单击 SameSite 列表,然后根据需要选择该选项。

    选择“SameSite”选项

SameSite cookie 属性的配置支持
February 25, 2021
贡献者: 
C
February 25, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.