如何检测站点访问者是否通过 Citrix XenApp 浏览站点？

Question

我们的客户有这个带有接收终端的小局域网，他们通过Citrix XenApp 流式传输Chrome 网络浏览器。为什么？我不知道。这很奇怪，但这种串联似乎破坏了他们在我们网站表单上提交的数据。一些物理上无法缓存的东西——被缓存在这个XenApp的某处。

这对我们来说是一个非常重要的错误，因为我们管理支付处理并且它正在兑现敏感的持卡人数据，这太不兼容 PCI DDS！

我们已经告诉他们在终端机器上安装普通的 Chrome 浏览器，他们说他们做到了。但第二天——同样的问题发生了。然后他们说——“哦，它又是一台带有Citrix XenApp 的旧机器。”呸！现在可能一周过去了，我们再次遇到同样的问题，但他们声称他们不再使用 XenApp，这是一个普通的本地 Chrome。

我不相信他们。但是我们如何证明它们是错误的呢？

TL;DR：是否有可能检测到：

1. 网站访问者使用普通的本地 Chrome 浏览器或
2. 在通过 Citrix XenApp 流式传输的 Chrome 浏览器下访问？

这是我们得到的USER_AGENT 的示例：

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, 像 壁虎）Chrome/39.0.2171.99 Safari/537.36

它看起来像一个完全正常的 Chrome 版本。尝试查看 HTTP 标头，并没有什么特别之处。

有没有办法确定这一点，甚至在理论上？

1. 我们的应用程序堆栈是LAMP，因此是 PHP 标记。
2. 请不要认为这是我们的软件错误。我们有数百个客户，数百万笔交易，而这种情况只发生在这个 Citrix XenApp 疯狂的客户身上。

编辑：这不是重复的！在这里，我谈论的是在浏览器中运行的网站和服务器端脚本。与具有 API 和 DLL 的 Windows 应用程序无关

Answer 1

简短的回答：你真的不能...... XenApp 是，就所有意图和目的而言，远程桌面。事实上，在某一时刻，Microsoft RDP 和 Citrix 是同一个代码库，来回获得许可。

更长的答案：当您通过 XenApp 启动 Chrome 时，Chrome 实际上是在服务器上启动的。然后，显示内容被捕获、重定向并通过 ICA 流式传输到客户端。通常，您无法通过标头或 HTTP 流量判断用户是否在运行 XenApp 的原因是，从 ChromeWebserver 的角度（或任何应用程序）来看，没有任何真正的变化。唯一的变化是在 UI 被渲染的地方。

我应该提到的一件事是，如果有人在大型安装中运行 XenApp，他们可能有一些 NetScaler 正在运行。如果是这样，它们可能会执行各种奇怪的 HTTP 缓存，因此您可能在错误的地方寻找缓存问题的解释。

Answer 2

我个人对 Citrix XenApp 并不熟悉，但从这里获取 http://www.citrix.com/products/xenapp/how-it-works/application-virtualization.html 是 Citrix XenApp 的工作方式。

了解应用程序虚拟化 Citrix 应用程序虚拟化技术将应用程序与底层操作系统和其他应用程序隔离开来，以提高兼容性和可管理性。作为现代应用程序交付解决方案，XenApp 通过集成的应用程序流和隔离技术对应用程序进行虚拟化。这种应用程序虚拟化技术使应用程序能够从一个集中位置流式传输到目标设备上的隔离环境中，并在其中执行。使用 XenApp，无需安装传统意义上的应用程序。应用程序文件、配置和设置被复制到目标设备，运行时的应用程序执行由应用程序虚拟化层控制。 在执行时，应用程序运行时认为它直接与操作系统交互，而事实上，它正在与代理所有对操作系统的请求的虚拟化环境交互。 XenApp 的独特之处在于它是一个完整的虚拟应用程序交付系统，通过将应用程序托管和应用程序流直接传输到用户设备，提供在线和离线应用程序访问。当用户请求应用程序时，XenApp 会确定他们的设备是否兼容并能够运行相关应用程序。目标设备的最低要求是兼容的 Windows® 操作系统和适当的 Citrix 客户端软件。如果用户设备满足最低要求，则 XenApp 通过应用程序流直接启动应用程序虚拟化到用户设备上的隔离环境中。如果用户设备无法运行特定应用程序，XenApp 会启动会话虚拟化。

防止缓存在您的 htaccess 文件中。

Header set Cache-Control "private, max-age=0, no-cache, no-store, must-revalidate" env=NO_CACHE

如果您想阻止缓存某些文件类型，请尝试以下示例：

  <FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$">
    Header set Cache-Control "private, max-age=0, no-cache, no-store, must-revalidate" env=NO_CACHE
    </FilesMatch>

Answer 3

检查 Citrix 特定的 HTTP 标头：

• X-Citrix-Gateway
• X-Citrix-Via

和一个代理头：

• X-Forwarded-For

和 Citrix 特定的 cookie：

• WIUser=
• WINGDevice=
• WINGSession=
• WIClientInfo=

和 Citrix 特定的 SSL 错误：

• SSL 错误 61
• SSL 错误 75
• SSL 错误 74

参考文献

• Archive: ICA Client Selection and other Web Interface Preferences

• Archive: Access Gateway Enterprise Edition - Set Cookie not Sent to Requesting Host through Clientless VPN

• XenApp and XenDesktop Authentication (ppt)

• Citrix Client SSL Error Codes

• Error: "The server certificate received is not trusted (SSL Error 61)" for Receiver Users

• How to Extract the SSL Session ID from an HTTP Request and Insert the SSL Session ID into a Custom HTTP Header

• Case Study: Cookie Does Not Expire for Some Mobile Users

• How Citrix Application Firewall Modifies Application Data Traffic

Answer 4

您可以使用它们的 IP 地址检测它们。 如果他们使用 XenApp，他们的 IP 将与本地局域网不同。