对SameSite cookie属性的配置支持
的SameSite属性指示浏览器是否可以将cookie用于跨站点上下文还是仅用于同站点上下文。如果一个应用程序想要在跨站点上下文中被访问,那么它只能通过HTTPS连接。具体请参见RFC6265。
在2020年2月之前SameSite属性没有在Citrix ADC设备中显式设置。浏览器采用默认值(None)。不落的SameSite属性不会影响Citrix网关和Citrix ADC AAA部署。
随着某些浏览器的升级,比如谷歌Chrome 80, cookie的默认跨域行为发生了变化。的SameSite属性可以设置为下列值之一。谷歌Chrome默认值为Lax。对于其他浏览器的某些版本,默认值为SameSite属性可能仍设置为“无”。
- 没有一个:指示浏览器仅在安全连接的跨站点上下文中使用cookie。
- 松懈的:表示浏览器使用cookie处理同站点上下文中的请求。在跨站点上下文中,只有安全的HTTP方法(如GET请求)可以使用cookie。
- 严格的:仅在同一站点上下文中使用cookie。
如果没有SameSite属性,谷歌Chrome假定的功能SameSite=松懈。因此,对于具有跨站点上下文的iframe中需要浏览器插入cookie的部署,Google Chrome不共享跨站点cookie。因此,网站内的iframe可能无法加载。
配置SameSitecookie属性
一个新的cookie属性名为SameSite添加到VPN和Citrix ADC AAA虚拟服务器。可以在全局级别和虚拟服务器级别设置此属性。
配置SameSite属性,则必须执行以下操作:
- 设置
SameSite虚拟服务器的属性 - 把饼干绑在盒子上
patset(如果浏览器删除跨站点cookie,则浏览器将删除该cookie)
设定SameSite通过命令行配置
设置SameSite属性,请使用以下命令。
设置vpn vserver VP1-SameSite[严格|松弛|无]设置aaa vserver VP1-SameSite[严格|松弛|无]<--需要复制-->设置SameSite属性,请使用以下命令。
set vpn param VP1 -SameSite [STRICT | LAX | None] 请注意:虚拟服务器级别设置优先于全局级别设置。Citrix建议设置SameSite虚拟服务器级别的cookie属性。
将cookies绑定到patset通过CLI
如果浏览器删除跨站点cookie,则可以将该cookie字符串绑定到现有cookiens_cookies_SameSite patset所以SameSite属性添加到cookie中。
例子:
绑定patset ns\u cookies\u SameSite“NSC\u TASS”绑定patset ns\u cookies\u SameSite“NSC\u TMAS”<--需要复制-->使用GUI设置SameSite属性
设置SameSite虚拟服务器级别的属性:
- 引导到Citrix网关>虚拟服务器.
- 选择一个虚拟服务器并单击编辑.
在对话框中选择编辑图标基本设置部分并单击更多的.
![单击“基本设置”中的“更多”]()
在里面SameSite,根据需要选择该选项。
![设置“SameSite”复选框]()
设置SameSite属性在全局级别:
- 引导到Citrix Gateway > Global Settings > Change Global Settings。
- 单击安全选项卡。
在里面
SameSite,根据需要选择该选项。![选择“相同网站”复选框]()
