Skip To Content

Désactiver l’en-tête no-sniff

Par défaut, depuis la version 10.7, ArcGIS Server envoie un message d’en-tête no-sniff avec chaque réponse HTTP invitant le navigateur Web de l’utilisateur à honorer le type de contenu de la réponse.

Cet en-tête empêche le navigateur de pratiquer la détection de type MIME, qui consiste à ce qu’un navigateur détermine le type de contenu d’une réponse et change le type de contenu pour l’utilisateur. La détection de type MIME expose l’utilisateur à des attaques XSS potentielles. L’en-tête no-sniff est une défense efficace contre les attaques XSS.

Les administrateurs peuvent désactiver l’en-tête no-sniff. Parce que maintenir cet en-tête activé est une bonne pratique de sécurité, les administrateurs doivent faire preuve de prudence et comprendre les risques qu’impliquent sa désactivation. Procédez comme suit pour désactiver l’en-tête à l’aide de l’API REST :

  1. Ouvrez le répertoire d'administrateur ArcGIS Server. L’URL est au format https://server.domain.com:6443/arcgis/admin.
  2. Cliquez sur system (système) > properties (propriétés) > update (mettre à jour).
  3. Ajoutez le texte suivant dans la zone de texte Properties (Propriétés) :
    {"enableNosniffHeader": false,}
  4. Cliquez pour confirmer la mise à jour.

    Le serveur est redémarré.

Pour activer l’en-tête à l’avenir, mettez à jour le fichier de propriétés JSON de telle sorte que la propriété EnableNosniffHeader ait une valeur définie sur true.