产品文档
Secure Web
查看 PDF

Citrix Secure Web™

May 6, 2026
投稿者: 
C C

Citrix Secure Web 是一款兼容 HTML5 的移动 Web 浏览器,可提供对内部和外部站点的安全访问。您可以配置 Secure Web,使其在设备注册到 Secure Hub 后自动推送到用户设备。或者,您可以从 Endpoint Management 应用商店添加该应用。

有关 Secure Web 和其他移动生产力应用的系统要求,请参阅系统要求

集成和交付 Secure Web

注意:

MDX Toolkit 10.7.10 是支持移动生产力应用包装的最终版本。用户可从公共应用商店访问 10.7.5 及更高版本的移动生产力应用。

要集成和交付 Secure Web,请按照以下常规步骤操作:

  1. 要启用对内部网络的单点登录 (SSO),请配置 Citrix Gateway。
  • 对于 HTTP 流量,Citrix ADC 可以为 Citrix ADC 支持的所有代理身份验证类型提供 SSO。对于 HTTPS 流量,Web 密码缓存策略使 Secure Web 能够通过 MDX 对代理服务器进行身份验证并提供 SSO。MDX 仅支持基本、摘要和 NTLM 代理身份验证。密码使用 MDX 缓存并存储在 Endpoint Management 共享保管库中,这是一个用于敏感应用数据的安全存储区域。有关 Citrix Gateway 配置的详细信息,请参阅 Citrix Gateway
    1. 下载 Secure Web。
  1. 确定如何配置用户与内部网络的连接。
  2. 使用与其他 MDX 应用相同的步骤将 Secure Web 添加到 Endpoint Management,然后配置 MDX 策略。有关 Secure Web 特定策略的详细信息,请参阅本文后面的“关于 Secure Web 策略”。

配置用户连接

Secure Web 支持以下用户连接配置:

  • 隧道式 – Web SSO: 隧道连接到内部网络的连接可以使用无客户端 VPN 的变体,称为“隧道式 – Web SSO”。这是 首选 VPN 模式 策略指定的默认配置。“隧道式 – Web SSO”建议用于需要单点登录 (SSO) 的连接。
  • 完整 VPN 隧道: 隧道连接到内部网络的连接可以使用由 首选 VPN 模式策略配置的完整 VPN 隧道。完整 VPN 隧道建议用于使用客户端证书或端到端 SSL 连接到内部网络中资源的连接。但是,Secure Web 并非可以读取存储在移动设备上的客户端证书的应用。可以安装一些第三方包装的企业应用来提供此功能。完整 VPN 隧道可处理 TCP 上的任何协议,并且除了 iOS 和 Android 设备外,还可与 Windows 和 Mac 计算机配合使用。

  • 允许 VPN 模式切换 策略允许根据需要自动在完整 VPN 隧道和隧道式 – Web SSO 模式之间切换。默认情况下,此策略处于关闭状态。当此策略开启时,如果网络请求因首选 VPN 模式无法处理的身份验证请求而失败,则会在备用模式下重试该请求。例如,完整 VPN 隧道模式可适应客户端证书的服务器质询,但隧道式 – Web SSO 模式不能。同样,在使用隧道式 – Web SSO 模式时,HTTP 身份验证质询更有可能通过 SSO 进行处理。

  • 下表说明了 Secure Web 是否根据配置和站点类型提示用户输入凭据:

  • 连接模式 站点类型 密码缓存 为 Citrix Gateway 配置了 SSO Secure Web 在首次访问网站时提示输入凭据 Secure Web 在后续访问网站时提示输入凭据 Secure Web 在密码更改后提示输入凭据
  • 隧道式 – Web SSO HTTP
  • 隧道式 – Web SSO HTTPS
  • 完整 VPN HTTP
    完整 VPN HTTPS 是;如果 Secure Web MDX 策略“启用 Web 密码缓存”为“开”。 是;需要在 Secure Web 中缓存凭据。

Secure Web 策略

添加 Secure Web 时,请注意这些 Secure Web 特有的 MDX 策略。对于所有受支持的移动设备:

允许或阻止的网站

Secure Web 通常不筛选 Web 链接。您可以使用此策略配置允许或阻止的特定站点列表。您可以配置 URL 模式以限制浏览器可以打开的网站,格式为逗号分隔列表。列表中的每个模式前面都有一个加号 (+) 或减号 (-)。浏览器将 URL 与按列出顺序的模式进行比较,直到找到匹配项。找到匹配项后,前缀决定要执行的操作,如下所示:

  • 减号 (-) 前缀指示浏览器阻止该 URL。在这种情况下,URL 将被视为 Web 服务器地址无法解析。
  • 加号 (+) 前缀允许正常处理 URL。
  • 如果模式未提供 + 或 -,则假定为 +(允许)。

  • 如果 URL 与列表中的任何模式都不匹配,则允许该 URL。

  • 要阻止所有其他 URL,请在列表末尾使用减号后跟星号 (-*)。例如:

  • 策略值 +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* 允许 mycorp.com 域内的 HTTP URL,但在其他位置阻止它们;允许任何位置的 HTTPS 和 FTP URL;并阻止所有其他 URL。
  • 策略值 +http://*.training.lab/*,+https://*.training.lab/*,-* 允许用户通过 HTTP 或 HTTPS 打开 Training.lab 域(内网)中的任何站点。但是,您无法打开 Facebook、Google 和 Hotmail 等公共 URL,无论协议如何。

默认值为空(允许所有 URL)。

阻止弹出窗口

弹出窗口是网站未经您许可打开的新选项卡。此策略确定 Secure Web 是否允许弹出窗口。如果为“开”,Secure Web 会阻止网站打开弹出窗口。默认值为“关”。

预加载书签

  • 定义 Secure Web 浏览器的预加载书签集。该策略是一个逗号分隔的元组列表,其中包括文件夹名称、友好名称和网址。每个三元组必须采用 folder, name, url 的形式,其中 folder 和 name 可以选择用双引号 (“”) 括起来。

  • 例如,策略值 ,"Mycorp, Inc. home page",https://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",https://www.mycorp.com/IR/Contactus.aspx 定义了三个书签。第一个是名为“Mycorp, Inc. home page”的主链接(无文件夹名称)。第二个链接放置在名为“MyCorp Links”的文件夹中,并标记为“Account logon”。第三个链接放置在“MyCorp Links”文件夹的“Investor Relations”子文件夹中,并显示为“Contact us”。

  • 默认值为空。

主页 URL

  • 定义 Secure Web 启动时加载的网站。默认值为空(默认起始页)。

仅适用于受支持的 Android 和 iOS 设备:

浏览器用户界面

规定 Secure Web 浏览器用户界面控件的行为和可见性。通常,所有浏览控件都可用。其中包括前进、后退、地址栏以及刷新/停止控件。您可以配置此策略以限制其中某些控件的使用和可见性。默认值为“所有控件可见”。

选项

  • 所有控件可见。所有控件均可见,用户不受限制地使用它们。
  • 只读地址栏。所有控件均可见,但用户无法编辑浏览器地址字段。
    • 隐藏地址栏。隐藏地址栏,但不隐藏其他控件。
    • 隐藏所有控件。隐藏整个工具栏以提供无边框浏览体验。

启用 Web 密码缓存

当 Secure Web 用户在访问或请求 Web 资源时输入凭据时,此策略确定 Secure Web 是否在设备上静默缓存密码。此策略适用于在身份验证对话框中输入的密码,而不适用于在 Web 表单中输入的密码。

如果设置为 “开”,Secure Web 将缓存用户在请求 Web 资源时输入的所有密码。如果设置为 “关”,Secure Web 不会缓存密码并删除现有缓存的密码。默认值为 “关”

仅当您还将“首选 VPN”策略设置为此应用程序的“完整 VPN 隧道”时,此策略才启用。

代理服务器

  • 在隧道式 - Web SSO 模式下使用 Secure Web 时,您还可以为其配置代理服务器。有关详细信息,请参阅此博客文章

DNS 后缀

在 Android 上,如果未配置 DNS 后缀,VPN 可能会失败。有关配置 DNS 后缀的详细信息,请参阅通过使用适用于 Android 设备的 DNS 后缀支持 DNS 查询

为 Secure Web 准备内部网站点

本节适用于需要为 Android 和 iOS 版 Secure Web 准备内部网站点的网站开发人员。为桌面浏览器设计的内部网站点需要进行更改才能在 Android 和 iOS 设备上正常运行。

Secure Web 依靠 Android WebView 和 iOS WkWebView 提供 Web 技术支持。Secure Web 支持的一些 Web 技术包括:

  • AngularJS
  • ASP .NET
  • JavaScript
  • jQuery
  • WebGL

  • WebSockets

  • Secure Web 不支持的一些 Web 技术包括:

  • Flash
  • Java

下表显示了 Secure Web 支持的 HTML 呈现功能和技术。X 表示该功能适用于平台、浏览器和组件组合。

技术 iOS Secure Web Android 6.x/7.x Secure Web
  • | – | – | – |
  • JavaScript engine JavaScriptCore V8
  • Local Storage X X
  • AppCache X X
  • IndexedDB   X
  • SPDY X  
  • WebP   X
  • srcet X X
  • WebGL   X
  • requestAnimationFrame API   X
  • Navigation Timing API   X
  • Resource Timing API   X

技术在不同设备上的工作方式相同;但是,Secure Web 会为不同的设备返回不同的用户代理字符串。要确定 Secure Web 使用的浏览器版本,您可以查看其用户代理字符串。在 Secure Web 中,导航到 https://whatsmyuseragent.com/

内部网站点故障排除

要解决在 Secure Web 中查看内部网站点时出现的呈现问题,请比较该网站在 Secure Web 和兼容的第三方浏览器中的呈现方式。

对于 iOS,用于测试的兼容第三方浏览器是 Chrome 和 Dolphin。

对于 Android,兼容的第三方测试浏览器是 Dolphin。

注意:

Chrome 是 Android 上的原生浏览器。请勿将其用于比较。

在 iOS 中,请确保浏览器支持设备级 VPN。您可以通过导航到“设置”>“VPN”>“添加 VPN 配置”在设备上配置 VPN。

您还可以使用 App Store 中提供的 VPN 客户端应用程序,例如 Citrix VPNCisco AnyConnectPulse Secure

  • 如果网页在两个浏览器中的呈现方式相同,则问题出在您的网站上。请更新您的网站并确保其在操作系统上运行良好。
  • 如果网页问题仅出现在 Secure Web 中,请联系 Citrix Support 以提交支持票证。提供您的故障排除步骤,包括测试的浏览器和操作系统类型。如果 Secure Web for iOS 存在呈现问题,请按照以下步骤所述包含页面的 Web 存档。这样做有助于 Citrix 更快地解决问题。

创建 Web 存档文件

在 macOS 10.9 或更高版本上使用 Safari,您可以将网页保存为 Web 存档文件(称为阅读列表)。Web 存档文件包含所有链接的文件,例如图像、CSS 和 JavaScript。

  1. 在 Safari 中,清空“阅读列表”文件夹:在“访达”中,单击“菜单”栏中的“前往”菜单,选择“前往文件夹”,键入路径名 ~/Library/Safari/ReadingListArchives/,然后删除该位置中的所有文件夹。

  2. “菜单”栏中,转到“Safari”>“偏好设置”>“高级”,然后启用“在菜单栏中显示开发菜单”

  3. “菜单”栏中,转到“开发”>“用户代理”,然后输入 Secure Web 用户代理:(Mozilla/5.0 (iPad; CPU OS 8_3 like macOS) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12F69 Secure Web/ 10.1.0(build 1.4.0) Safari/8536.25)。

  4. 在 Safari 中,打开要保存为阅读列表(Web 存档文件)的网站。

  5. “菜单”栏中,转到“书签”>“添加到阅读列表”。存档在后台进行,可能需要几分钟。

  6. 找到存档的阅读列表:在“菜单”栏中,转到“视图”>“显示阅读列表侧边栏”

  7. 验证存档文件:

    • 关闭 Mac 的网络连接。

    • 从阅读列表中打开网站。

      网站将完整呈现。

  8. 压缩存档文件:在“访达”中,单击“菜单”栏中的“前往”菜单,选择“前往文件夹”,键入路径名 ~/Library/Safari/ReadingListArchives/。现在压缩名称为随机十六进制字符串的文件夹。您可以在提交支持票证时将此文件发送给 Citrix support。

Secure Web 功能

Secure Web 使用移动数据交换技术为用户创建专用 VPN 隧道,以访问内部和外部网站以及所有其他网站。这包括在组织策略保护的环境中包含敏感信息的站点。

Secure Web 与 Secure Mail 和 Citrix Files 的集成在安全的 Endpoint Management 容器中提供了无缝的用户体验。以下是一些集成功能的示例:

  • 当用户点击 Mailto 链接时,Citrix Secure Mail™ 中会打开一封新电子邮件,无需额外身份验证。
  • 在 iOS 中,用户可以通过在 URL 前面插入 ctxmobilebrowser:// 从原生邮件应用程序在 Secure Web 中打开链接。例如,要从原生邮件应用程序打开 example.com,请使用 URL ctxmobilebrowser://example.com。
  • 当用户点击电子邮件中的内部网链接时,Secure Web 会转到该站点,无需额外身份验证。
  • 用户可以将从 Secure Web 中下载的文件上传到 Citrix Files。

Secure Web 用户还可以执行以下操作:

  • 阻止弹出窗口。

    注意:

    Secure Web 的大部分内存都用于呈现弹出窗口,因此在“设置”中阻止弹出窗口通常可以提高性能。

  • 为其收藏的站点添加书签。
  • 下载文件。
  • 离线保存页面。
  • 自动保存密码。
  • 清除缓存/历史记录/Cookie。
  • 禁用 Cookie 和 HTML5 本地存储。
  • 与其他用户安全地共享设备。
  • 在地址栏中搜索。
  • 允许他们使用 Secure Web 运行的 Web 应用程序访问其位置。
  • 导出和导入设置。
  • 无需下载文件即可直接在 Citrix Files 中打开文件。要启用此功能,请在 Endpoint Management 的“允许的 URL”策略中添加 ctx-sf:。
  • 在 iOS 中,使用 3D Touch 操作直接从主屏幕打开新选项卡并访问离线页面、收藏站点和下载。
  • 在 iOS 中,下载任意大小的文件并在 Citrix Files 或其他应用程序中打开它们。

    注意:

    将 Secure Web 置于后台会导致下载停止。

  • 使用“在页面中查找”在当前页面视图中搜索术语。

“在页面中查找”选项的图像

Secure Web 还支持动态文本。该应用程序会显示用户在其设备上设置的字体。

注意:

Citrix Secure Web™
May 6, 2026
投稿者: 
C C
May 6, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.