デフォルトでは、ArcGIS Server はクロス ドメイン リクエストを許可しているため、JavaScript クライアントが任意のドメインからサーバーのサービスを呼び出すことができます。
JavaScript アプリケーション専用のドメインへのリクエストを制限する場合は、特定のドメインだけを信頼するように ArcGIS Server を設定できます。ArcGIS Server Administrator Directory を使用して、この操作を行います。
JavaScript アプリケーションからのリクエストを制限
デフォルトでは、ArcGIS Server はすべての JavaScript アプリケーションから Web サービスへのアクセスを許可しています。この動作は、[AllowedOrigins] という名前のプロパティで制御します (このプロパティのデフォルト設定は、ワイルドカード記号 * です)。他のドメインでホストされている特定の JavaScript アプリケーションが Web サービスを利用できないようにする場合は、信頼するドメインだけをリストに載せるように [AllowedOrigins] の値を変更できます。これにより、不明なアプリケーションから Web サービスに悪意のあるコマンドが送られてくる可能性が低くなります。
メモ:
CORS リクエストの作成が許可されているホストの制限が指定されていない Web サーバー、リバース プロキシ、またはロード バランサーを介して送信されたリクエストは、[AllowedOrigins] プロパティによって拒否されたホストから許可されているように見えます。ArcGIS Server サイトと同じ制限に準拠するように Web サーバー、リバース プロキシ、またはロード バランサーを設定する必要があります。
- ArcGIS Server Administrator Directory を開いて、サーバーへの管理者アクセス権限のあるユーザーとしてログインします。URL の形式は、https://gisserver.domain.com:6443/arcgis/admin です。
- [system] > [handlers] > [rest] > [servicesdirectory] の順にクリックします。
- [Services Directory] ページで [edit] をクリックします。
- [AllowedOrigins] フィールドに、Web サービスへのアクセスが許可されているコンピューターとそのドメイン名のリストをカンマ区切りで指定します (例: https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com)。
メモ:
ドメイン名で、コンピューター名の代わりにワイルドカード文字 (*) を使用 (例: https://*.example.com) することはできません。各コンピューターの完全修飾ドメイン名をリストに指定する必要があります。
- [保存] をクリックします。