Standardmäßig sendet ArcGIS Server sendet eine no-sniff-Header-Nachricht mit jeder HTTP-Antwort. Diese weist den Webbrowser des Benutzers an, den Inhaltstyp der Antwort zu berücksichtigen.
Dieser Header verhindert das MIME-Sniffing im Browser, bei dem der Browser den Inhaltstyp einer Antwort ermittelt und ihn für den Benutzer ändert. Durch MIME-Sniffing wird der Benutzer potenziellen Cross-Site-Scripting-Angriffen (XSS) ausgesetzt. Der no-sniff-Header ist ein effektives Mittel zur Abwehr von XSS-Angriffen.
Administratoren können den no-sniff-Header deaktivieren. Da dieser Header als bewährte Sicherheitsmaßnahme gilt, müssen Administratoren vorsichtig handeln und die mit der Deaktivierung verbundenen Risiken kennen. Führen Sie die folgenden Schritte aus, um den Header über die REST-API zu deaktivieren:
- Öffnen Sie das ArcGIS-Server-Administratorverzeichnis. Die URL hat das Format https://server.domain.com:6443/arcgis/admin.
- Klicken Sie auf System > Eigenschaften > Aktualisieren.
- Geben Sie folgenden Text in das Textfeld Eigenschaften ein:
{"enableNosniffHeader": false,}
- Klicken Sie hier, um die Aktualisierung zu bestätigen.
Der Server wird neu gestartet.
Damit der Header in Zukunft immer aktiviert ist, aktualisieren Sie die JSON-Eigenschaftsdatei, sodass die Eigenschaft EnableNosniffHeader den Wert true aufweist.