强制对身份验证 cookie 使用 HttpOnly 标志
从 Citrix Gateway 版本 13.1-37.x 及更高版本开始,HttpOnly 标志在 VPN 场景的身份验证 cookie 上可用,即 NSC_AAAC 和 NSC_TMAS cookie。NSC_TMAS 身份验证 cookie 在 nFactor 身份验证期间使用,NSC_AAAC cookie 用于经过身份验证的会话。Cookie 上的 HttpOnly 标志使用 JavaScript 文档 cookie 选项限制 cookie 的访问。这有助于防止 Cookie 因跨站脚本而被盗用。
支持的场景
nFactor 身份验证支持 HTTPOnly 标志。
将 Citrix ADC AAA 参数的 HttpOnlyCookie 旋钮与 tmsession 的 HttpOnlyCookie 旋钮一起使用时的行为:
- 当启用身份验证、授权和审核参数的 httpOnlyCookie 旋钮并使用 nFactor 身份验证时,身份验证、授权和审核参数的 HttpOnlyCookie 旋钮会覆盖 TM 会话的 HttpOnlyCookie 旋钮。此外,无论会话类型如何;无论是 VPN 会话、TM 会话还是 nFactor 身份验证期间,NSC_TMAS 和 NSC_AAAC 都被标记为 HttpOnly。
- 如果禁用 HttpOnlyCookie 旋钮,则不会为 VPN 会话设置 HttpOnly 标志。对于身份验证、授权和审核方案,HttpOnly 标志是根据 TM 会话旋钮值设置的。
使用 CLI 配置 HttpOnly 功能
-
启用 HTTPOnly 标志
set aaa parameter -httpOnlyCookie ENABLED <!--NeedCopy--> -
检查 HttpOnly 功能的状态
show aaa parameter <!--NeedCopy-->
限制
- 启用 HttpOnly 功能后,Citrix Secure Access 客户端上的“主页”按钮不起作用。
- 在任何经典身份验证中均未设置 HttpOnly 标志。
强制对身份验证 cookie 使用 HttpOnly 标志
已复制!
失败!