Unterstützung für Antwortheader der Inhaltssicherheitsrichtlinie für Citrix Gateway und von virtuellen Servern generierte Authentifizierungsantworten
Ab Citrix ADC Release Build 13.0-76.29 wd der Content-Security-Policy (CSP) -Antwortheader für von Citrix Gateway und virtuelle Authentifizierungsserver generierte Antworten unterstützt。
Der Content-Security-Policy (CSP) Response-Header ist ine Kombination von Richtlinien, die Der Browser verwendet, um Cross-Site-Scripting (CSS) -Angriffe zu vermeiden。Der HTTP-CSP-Antwortheader ermöglicht es Website-Administratoren, die Ressourcen zu steuern, die Der Benutzeragent für eine bestimmte Seite laden darf。Mit wenigen Ausnahmen beinhalten Richtlinien hauptsächlich die Angabe von Serverursprüngen und Skript-Endpunkten。死亡schützt vor跨站点脚本- angriffen。Der CSP-Header wurde entwickelt,嗯die Art and Weise zu ändern, wie Browser Seiten rendern, und schützt damit vor verschiedenen standortübergreifenden Einschleusungen, einschließlich CSS。Es ist wicichtig, den head - wert korrekt einzustellen, so dass der ordnungsgemäße Betrieb der Website nicht verhindert wid。Wenn der Header beispielsweise so eingestellt ist, dass er die Ausführung von Inline-JavaScript verhindert, darf die Website auf ihren Seiten kein Inline-JavaScript verwenden。
Im Folgenden sind die Vorteile des CSP-Antwort-Headers aufgeführt。
- Die Hauptfunktion eines CSP-Antwortheaders bestht darin, CSS-Angriffe zu verhindern。
- Neben der Einschränkung der Domänen, ausdenen Inhalte geladen werden können, kann der Server angeben, welche Protokolle verwendet werden dürfen。Zum Beispiel (und idealerwise aus Sicherheitssicht)在服务器上,在外部环境下,在HTTPS geladen werden müssen。
- CSP hilft dabei, Citrix ADC vor standortübergreifenden Scripting-Angriffen zu schützen, indem er Dateien wie " tmindex.html " und "首页.html " sichert。Die Datei " tmindex.html " bezieht sich auf Die Authentifizierung und Die Datei "首页.html " bezieht sich auf Die veröffentlichten应用程序/链接。
Konfigurieren des Content-Security-Policy-Headers für Citrix Gateway und Authentifizierung von virtuellen Servern generierten Antworten
Um den CSP-Header zu aktivieren, müssen Sie Ihren Webserver so konfigurieren, dass er den CSP-HTTP-Header zurückgibt。
Wichtige Hinweise
- Standardmäßig ist der CSP-Header deaktiviert。
- 北姆阿克蒂维亚德标准- csp - richtlinie野生动物,den folgenden Befehl auszuführen。
刷新缓存内容组loginstaticobjects- Um den CSP für /logon/LogonPoint/index.html zu ändern, ändern Sie den Wert“Header set Content-Security-Policy”wie erforderlich in dem Abschnitt, der dem Anmeldeverzeichnis entspricht, das unter dem Verzeichnis
/var/netscaler/logon坚持。
Um CSP für den Authentifizierungsserver und von Citrix Gateway generierte Antworten mit CLI zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
set aaa parameter -defaultCSPHeader .使用实例 所以konfigurieren Sie CSP für Citrix Gateway und Authentifizierung von virtuellen Servern generierten Antworten über die GUI。
航海家司祖思杰Gateway > Globale Einstellungenund klicken Sie unterAuthentifizierungseinstellungen auf AAA-Einstellungen für Authentifizierung ändern.
Wählen Sie auf der SeiteAAA-Parameter konfigurieren达斯菲尔德在Standard-CSP-Header aktiviert来自。
Ein Beispiel für die Anpassung der Kopfzeile von Content-Security-Policy
Im Folgenden finden Sie in Beispiel für die Anpassung von CSP-Headern, um图像和脚本nur aus den Folgenden beiden angegebenen Quellen einzuschließen:https://company.fqdn.com, https://example.com。
Beispiel-Konfiguration
添加重写动作modify_csp insert_http_header Content-Security-Policy "\"default-src 'self';Script-src 'self' https://company.fqdn.com '不安全-内联' '不安全-eval';connect-src“自我”;Img-src http://localhost:* https://example.com 'self' data: http: https:;Style-src 'self' '不安全的内联';font-src“自我”;frame-src“自我”;Child-src 'self' com.citrix。agmacepa://* citrixng://* com.citrix.nsgclient://*;表单动作“自我”; object-src 'self'; report-uri /nscsp_violation/report_uri\"" add rewrite policy add_csp true modify_csp bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE