De manera predeterminada, ArcGIS Server permite solicitudes entre dominios para que los clientes de JavaScript puedan invocar los servicios del servidor desde cualquier dominio.
Si desea restringir las solicitudes a dominios concretos para las aplicaciones de JavaScript, puede configurar ArcGIS Server de modo que solo confíe en ciertos dominios. Para ello, utilice el Directorio de administrador de ArcGIS Server.
Restringir solicitudes de aplicaciones de JavaScript
De manera predeterminada, ArcGIS Server permite a todas las aplicaciones de JavaScript acceder a los servicios web. Una propiedad denominada AllowedOrigins controla este comportamiento (su configuración predeterminada es el símbolo de comodín *). Si desea impedir el uso de sus servicios web por parte de ciertas aplicaciones de JavaScript alojadas en otros dominios, puede configurar el valor de AllowedOrigins para incluir una lista que solo contenga los dominios en los que confía. Esto reduce el riesgo de que una aplicación desconocida pueda enviar comandos perjudiciales a sus servicios web.
Nota:
Las solicitudes enviadas a través de un servidor web, proxy inverso o equilibrador de carga que no tenga ninguna restricción en cuanto a los hosts que pueden hacer solicitudes CORS parecen estar permitidas desde los hosts denegados por la propiedad AllowedOrigins. Deberá configurar el servidor web, el proxy inverso o el equilibrador de carga para que respeten las mismas restricciones que el sitio de ArcGIS Server.
- Abra el Directorio de administrador de ArcGIS Server e inicie sesión con un usuario que tenga acceso administrativo al servidor. La dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/admin.
- Haga clic en system > handlers > rest > servicesdirectory.
- En la página Directorio de servicios, haga clic en editar.
- En el campo AllowedOrigins, especifique una lista separada por comas de equipos y nombres de dominio que pueden acceder a sus servicios web; por ejemplo, https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com.
Nota:
No se puede utilizar el carácter comodín * en el nombre de dominio como sustituto del nombre del equipo, por ejemplo, https://*.example.com. Se debe especificar el nombre de dominio totalmente calificado de cada equipo de la lista.
- Haga clic en Save (Guardar).