デフォルトでは、10.7 以降の ArcGIS Server は no-sniff ヘッダー メッセージを各 HTTP 応答と共に送信し、応答のコンテンツ タイプに対応するようにユーザーの Web ブラウザーに指示します。
このヘッダーはブラウザーをブロックして MIME-sniffing が実行されないようにします。MIME-sniffing が実行されている場合、ブラウザーは応答のコンテンツ タイプを決定しようとし、ユーザーのコンテンツ タイプを変更します。MIME-sniffing が実行されると、ユーザーは潜在的なクロスサイト スクリプティング (XSS) 攻撃にさらされることになります。no-sniff ヘッダーは XSS に対する有効な防御対策です。
管理者はこの no-sniff ヘッダーを無効化できます。このヘッダーを有効な状態に保つことはセキュリティのベスト プラクティスであるため、このヘッダーを無効化する場合、管理者は十分に注意し、それに伴うリスクを理解する必要があります。REST API を使用してこのヘッダーを無効化するには、次の手順に従います。
- ArcGIS Server Administrator Directory を開きます。URL の形式は、https://server.domain.com:6443/arcgis/admin です。
- [system] > [properties] > [update] の順にクリックします。
- [Properties] テキスト ボックスに次のテキストを入力します。
{"enableNosniffHeader": false,}
- クリックして更新を確認します。
サーバー が再起動されます。
後でこのヘッダーを有効化するには、EnableNosniffHeader プロパティの値が true になるように、JSON プロパティ ファイルを更新します。