php - 如何检测站点访问者是否通过 Citrix XenApp 浏览站点？

Question

我们的客户有这个带有接收终端的小局域网，他们通过这些终端流式传输Chrome网络浏览器Citrix XenApp。为什么？我不知道。这很奇怪，但这种串联似乎破坏了他们在我们网站表单上提交的数据。一些物理上无法缓存的东西——被缓存在这个XenApp东西的某个地方。

这对我们来说是一个非常重要的错误，因为我们管理支付处理并且它正在兑现敏感的持卡人数据，这与 PCI DDS 不兼容！

我们已经告诉他们在终端机器上安装普通的 Chrome 浏览器，他们说他们做到了。但第二天——同样的问题发生了。然后他们说——“<strong>哦，它又是一台旧机器Citrix XenApp。” 呸！现在可能一周过去了，我们又遇到了同样的问题，但他们声称他们不再使用XenApp了，这是一个普通的本地 Chrome。

我不相信他们。但是我们如何证明他们是错的呢？

TL; DR：是否可以检测到：

1. 网站访问者使用普通的本地 Chrome 浏览器或
2. 在流式传输的 Chrome 浏览器下访问Citrix XenApp？

USER_AGENT这是我们得到的一个例子：

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, 像 Gecko) Chrome/39.0.2171.99 Safari/537.36

它看起来像一个完全正常的 Chrome 版本。试图查看 HTTP 标头，那里并没有什么特别之处。

有没有办法确定这一点，即使是理论上的？

1. 我们的应用程序堆栈是LAMP，因此是 PHP 标记。
2. 请不要认为这是我们的软件错误。我们有数百个客户，数百万笔交易，而这种情况只发生在这个Citrix XenApp疯狂的客户身上。

编辑：这不是重复的！在这里，我谈论的是在浏览器中运行的网站和服务器端脚本。与具有 API 和 DLL 的 Windows 应用程序无关

Answer 1

简短的回答：你真的不能...... XenApp 是，就所有意图和目的而言，远程桌面。事实上，在某一时刻，Microsoft RDP 和 Citrix 是相同的代码库来回授权。

更长的答案：当您通过 XenApp 启动 Chrome 时，Chrome 实际上是在服务器上启动的。然后，显示内容被捕获、重定向并通过 ICA 流式传输到客户端。通常，您无法通过标头或 HTTP 流量判断用户是否在运行 XenApp 的原因是，从 Chrome<->Webserver 的角度（或任何应用程序）来看，没有任何真正的变化。唯一的变化是在 UI 被渲染的地方。

我应该提到的一件事是，如果有人在大型安装中运行 XenApp，那么他们可能有一些 NetScaler 正在运行。如果是这样，那些可以做各种奇怪的 HTTP 缓存，所以你可能在错误的地方寻找你的缓存问题的解释..

Answer 2

我个人不熟悉 Citrix XenApp，但从这里获取 http://www.citrix.com/products/xenapp/how-it-works/application-virtualization.html是 Citrix XenApp 的工作方式。

了解应用程序虚拟化 Citrix 应用程序虚拟化技术将应用程序与底层操作系统和其他应用程序隔离开来，以提高兼容性和可管理性。作为现代应用交付解决方案，XenApp 通过集成应用流和隔离技术对应用进行虚拟化。这种应用程序虚拟化技术使应用程序能够从集中位置流式传输到目标设备上的隔离环境中，并在其中执行。使用 XenApp，无需安装传统意义上的应用程序。应用程序文件、配置和设置被复制到目标设备，运行时的应用程序执行由应用程序虚拟化层控制。执行时，应用程序运行时认为它直接与操作系统交互，而事实上，它正在与代理所有对操作系统的请求的虚拟化环境交互。 XenApp 的独特之处在于它是一个完整的虚拟应用程序交付系统，通过将应用程序托管和应用程序流直接传输到用户设备，提供在线和离线应用程序访问。当用户请求应用程序时，XenApp 会确定他们的设备是否兼容并能够运行相关应用程序。目标设备的最低要求是兼容的 Windows® 操作系统和适当的 Citrix 客户端软件。如果用户设备满足最低要求，则 XenApp 通过应用程序流直接启动应用程序虚拟化到用户设备上的隔离环境中。如果用户设备无法运行特定应用程序，XenApp 将启动会话虚拟化。

防止在您的 htaccess 文件中缓存。

Header set Cache-Control "private, max-age=0, no-cache, no-store, must-revalidate" env=NO_CACHE

如果您想防止缓存某些文件类型，请尝试例如：

  <FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$">
    Header set Cache-Control "private, max-age=0, no-cache, no-store, must-revalidate" env=NO_CACHE
    </FilesMatch>

Answer 3

检查 Citrix 特定的 HTTP 标头：

• X-Citrix-Gateway
• X-Citrix-Via

和一个代理标头：

• X-Forwarded-For

和 Citrix 特定的 cookie：

• WIUser=
• WINGDevice=
• WINGSession=
• WIClientInfo=

和 Citrix 特定的 SSL 错误：

• SSL 错误 61
• SSL 错误 75
• SSL 错误 74

参考

• 存档：ICA 客户端选择和其他 Web 界面首选项

• 存档：Access Gateway 企业版 - 设置 Cookie 不通过无客户端 VPN 发送到请求主机

• XenApp 和 XenDesktop 身份验证 (ppt)

• Citrix 客户端 SSL 错误代码

• 错误：接收方用户的“收到的服务器证书不受信任（SSL 错误 61）”

• 如何从 HTTP 请求中提取 SSL 会话 ID 并将 SSL 会话 ID 插入自定义 HTTP 标头

• 案例研究：某些移动用户的 Cookie 不会过期

• Citrix Application Firewall 如何修改应用程序数据流量

Answer 4

您可以使用它们的 IP 地址检测它们。如果他们使用 XenApp，他们的 IP 将不同于本地局域网。