De manera predeterminada, ArcGIS Server permite solicitudes entre dominios (CORS) para que los clientes de JavaScript puedan invocar los servicios del servidor desde cualquier dominio.
Para restringir las solicitudes a dominios concretos para las aplicaciones de JavaScript, puede configurar ArcGIS Server de modo que solo confíe en ciertos dominios. Para ello, utilice el Directorio de administrador de ArcGIS Server.
Restringir solicitudes de aplicaciones de JavaScript
De manera predeterminada, ArcGIS Server permite a todas las aplicaciones de JavaScript acceder a los servicios web. Una propiedad denominada AllowedOrigins controla este comportamiento (su configuración predeterminada es el símbolo de comodín *). Para impedir el uso de sus servicios web por parte de ciertas aplicaciones de JavaScript alojadas en otros dominios, puede configurar el valor de AllowedOrigins para incluir una lista que solo contenga los dominios en los que confía. Esto reduce el riesgo de que una aplicación desconocida pueda enviar comandos perjudiciales a sus servicios web.
Nota:
La configuración de los encabezados CORS implementada en el Web Adaptor, el proxy inverso o el equilibrador de carga puede interferir con la configuración de ArcGIS Server definida por la propiedad AllowedOrigins. En la mayoría de los casos, se recomienda permitir a ArcGIS Server administrar el envío de encabezados CORS apropiados según la propiedad AllowedOrigins. De este modo, se asegurará de que no sea necesario definir encabezados CORS separados para Web Adaptor, proxy inverso ni equilibrador de carga. .
- Abra el Directorio de administrador de ArcGIS Server e inicie sesión con un usuario que tenga acceso administrativo al servidor. La dirección URL tiene el formato https://gisserver.domain.com:6443/arcgis/admin.
- Haga clic en system > handlers > rest > servicesdirectory.
- En la página Directorio de servicios, haga clic en editar.
- En el campo AllowedOrigins, especifique una lista separada por comas de equipos y nombres de dominio que pueden acceder a sus servicios web; por ejemplo, https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com.
Nota:
No se puede utilizar el carácter comodín * en el nombre de dominio como sustituto del nombre del equipo, por ejemplo, https://*.example.com. Se debe especificar el nombre de dominio totalmente calificado de cada equipo de la lista.
- Haga clic en Guardar.
Restringir solicitudes de distinto origen a extremos de servicios web de OGC
- Vaya a los controladores del > sistema > soap > soaphandlerconfig.
- En la página Configuración del controlador SOAP, haga clic en editar.
- En el campo AllowedOrigins, especifique una lista separada por comas de equipos y nombres de dominio que pueden acceder a sus servicios web mediante SOAP; por ejemplo, https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com.
Nota:
No se puede utilizar el carácter comodín * en el nombre de dominio como sustituto del nombre del equipo, por ejemplo, https://*.example.com. Se debe especificar el nombre de dominio totalmente calificado de cada equipo de la lista.
- Haga clic en Guardar.