内容安全策略响应头支持Citrix网关和认证虚拟服务器生成的响应
从Citrix ADC发布版本13.0-76.29开始,支持内容-安全-策略(CSP)响应头,用于Citrix网关和认证虚拟服务器生成的响应。
CSP (Content-Security-Policy)响应头是浏览器用来避免CSS (Cross Site Scripting)攻击的策略组合。HTTP CSP响应头允许网站管理员控制允许用户代理为给定页面加载的资源。除了少数例外,策略主要涉及指定服务器源和脚本端点。这有助于防止跨站点脚本攻击。CSP头的设计目的是修改浏览器呈现页面的方式,从而防止各种跨站点注入,包括CSS。重要的是要正确地设置标题值,以一种不妨碍网站的正确操作的方式。例如,如果标题设置为防止内联JavaScript的执行,网站一定不能在其页面中使用内联JavaScript。
以下是CSP响应头的优点。
- CSP响应头的主要功能是防止CSS攻击。
- 除了限制加载内容的域之外,服务器还可以指定允许使用哪些协议;例如(从安全的角度来看,理想情况下),服务器可以指定所有内容都必须使用HTTPS加载。
- CSP通过保护“tmindex.html”和“主页.html”等文件,帮助Citrix ADC免受跨站脚本攻击。“tmindex.html”文件与认证有关,“主页。html”文件与发布的应用程序/链接有关。
为Citrix网关和认证虚拟服务器生成的响应配置内容-安全-策略头
要启用CSP报头,需要配置web服务器返回CSP HTTP报头。
点需要注意
- 缺省情况下,CSP头处于关闭状态。
- 在开启/关闭默认CSP策略时,建议执行如下命令。
刷新缓存内容组loginstaticobjects
- 如果需要修改tmindex.html、首页.html等CSP策略,建议修改
httpd . conf
.修改httpd . conf
,打开httpd . conf
在任何XML编辑器中,向下滚动到标签DirectoryMatch找到以下目录,“/netscaler/ns_gui/vpn”,“/netscaler/ns_gui/epa”,并修改“Header set Content-Security-Policy”。
要配置CSP用于认证虚拟服务器和Citrix Gateway使用命令行生成响应,在命令提示符下输入以下命令:
设置aaa参数-defaultCSPHeader
使用GUI为Citrix网关和认证虚拟服务器生成响应配置CSP。
导航到Citrix网关>全局设置,点击更改认证AAA设置在身份验证设置。
在配置AAA级参数页面,选择默认CSP头使能字段。
一个Content-Security-Policy头定制的示例
下面是一个CSP头定制的示例,它分别只包含来自以下两个指定源的图像和脚本,https://company.fqdn.com, https://example.com。
示例配置
添加重写动作modify_csp insert_http_header Content-Security-Policy "\"default-src " self ";Script-src 'self' https://company.fqdn.com 'unsafe-inline' 'unsafe-eval';connect-src“自我”;Img-src http://localhost:* https://example.com 'self'数据:http: https:;style-src '自我' ' unsafe-inline ';font-src“自我”;frame-src“自我”;child-src com.citrix“自我”。agmacepa: / / * citrixng: / / * com.citrix.nsgclient: / / *;表单动作“自我”; object-src 'self'; report-uri /nscsp_violation/report_uri\"" add rewrite policy add_csp true modify_csp bind authentication vserver auth1 -policy add_csp -priority 1 -gotoPriorityExpression NEXT -type AAA_RESPONSE
内容安全策略响应头支持Citrix网关和认证虚拟服务器生成的响应
复制!
失败了!