内容安全策略响应头支持Citrix网关和认证虚拟服务器生成的响应

从Citrix ADC发布版本13.0-76.29开始，支持内容-安全-策略(CSP)响应头，用于Citrix网关和认证虚拟服务器生成的响应。

CSP (Content-Security-Policy)响应头是浏览器用来避免CSS (Cross Site Scripting)攻击的策略组合。HTTP CSP响应头允许网站管理员控制允许用户代理为给定页面加载的资源。除了少数例外，策略主要涉及指定服务器源和脚本端点。这有助于防止跨站点脚本攻击。CSP头的设计目的是修改浏览器呈现页面的方式，从而防止各种跨站点注入，包括CSS。重要的是要正确地设置标题值，以一种不妨碍网站的正确操作的方式。例如，如果标题设置为防止内联JavaScript的执行，网站一定不能在其页面中使用内联JavaScript。

以下是CSP响应头的优点。

• CSP响应头的主要功能是防止CSS攻击。
• 除了限制加载内容的域之外，服务器还可以指定允许使用哪些协议;例如(从安全的角度来看，理想情况下)，服务器可以指定所有内容都必须使用HTTPS加载。
• CSP通过保护“tmindex.html”和“主页.html”等文件，帮助Citrix ADC免受跨站脚本攻击。“tmindex.html”文件与认证有关，“主页。html”文件与发布的应用程序/链接有关。

为Citrix网关和认证虚拟服务器生成的响应配置内容-安全-策略头

要启用CSP报头，需要配置web服务器返回CSP HTTP报头。

点需要注意

1. 缺省情况下，CSP头处于关闭状态。
2. 在开启/关闭默认CSP策略时，建议执行如下命令。刷新缓存内容组loginstaticobjects
3. 如果需要修改tmindex.html、首页.html等CSP策略，建议修改httpd . conf．修改httpd . conf,打开httpd . conf在任何XML编辑器中，向下滚动到标签DirectoryMatch找到以下目录，“/netscaler/ns_gui/vpn”，“/netscaler/ns_gui/epa”，并修改“Header set Content-Security-Policy”。

要配置CSP用于认证虚拟服务器和Citrix Gateway使用命令行生成响应，在命令提示符下输入以下命令:

设置aaa参数-defaultCSPHeader 

使用GUI为Citrix网关和认证虚拟服务器生成响应配置CSP。

1. 导航到Citrix网关>全局设置,点击更改认证AAA设置在身份验证设置。

2. 在配置AAA级参数页面,选择默认CSP头使能字段。

一个Content-Security-Policy头定制的示例

下面是一个CSP头定制的示例，它分别只包含来自以下两个指定源的图像和脚本，https://company.fqdn.com, https://example.com。

示例配置

添加重写动作modify_csp insert_http_header Content-Security-Policy "\"default-src " self ";Script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval';connect-src“自我”;Img-src http://localhost:* https://example.com 'self'数据:http: https:;style-src '自我' ' unsafe-inline ';font-src“自我”;frame-src“自我”;child-src com.citrix“自我”。agmacepa: / / * citrixng: / / * com.citrix.nsgclient: / / *;表单动作“自我”; object-src 'self'; report-uri /nscsp_violation/report_uri\"" add rewrite policy add_csp true modify_csp bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE