De forma predeterminada a partir de la versión 10.7, ArcGIS Server envía un mensaje de encabezado no-sniff con cada respuesta de HTTP que indica al navegador web del usuario que debe respetar el tipo de contenido de la respuesta.
Este encabezado impide que el navegador realice rastreo MIME, donde el navegador intenta determinar el tipo de contenido de una respuesta y cambia el tipo de contenido por el usuario. El rastreo MIME expone al usuario a posibles ataques de scripts entre sitios (XSS). El encabezado no-sniff es una defensa eficaz frente a los XSS.
Los administradores pueden deshabilitar el encabezado no-sniff. Ya que mantener habilitado este marcador es una práctica de seguridad recomendada, los administradores deberían ejercer cautela y comprender los riesgos relacionados si se deshabilita. Siga estos pasos para deshabilitar el encabezado con la API REST:
- Abra el Directorio de administrador de ArcGIS Server. La dirección URL tiene el formato https://server.domain.com:6443/arcgis/admin.
- Haga clic en sistema > propiedades > actualizar.
- Agregue el siguiente texto en el cuadro de texto Propiedades:
{"enableNosniffHeader": false,} - Haga clic para confirmar la actualización.
El portal del servidor se reinicia.
Para habilitar el encabezado en el futuro, actualice el archivo de propiedades JSON de modo que la propiedad EnableNosniffHeader tenga el valor true.