Skip To Content

ArcGIS Server へのクロス ドメイン リクエストを制限

デフォルトでは、ArcGIS Server はクロス ドメイン リクエスト (CORS) を許可しているため、JavaScript クライアントが任意のドメインからサーバーのサービスを呼び出すことができます。

JavaScript アプリケーション専用のドメインへのリクエストを制限するには、特定のドメインだけを信頼するように ArcGIS Server を設定します。 ArcGIS Server Administrator Directory を使用して、この操作を行います。

JavaScript アプリケーションからのリクエストを制限

デフォルトでは、ArcGIS Server はすべての JavaScript アプリケーションから Web サービスへのアクセスを許可しています。 この動作は、[AllowedOrigins] という名前のプロパティで制御します (このプロパティのデフォルト設定は、ワイルドカード記号 * です)。 他のドメインでホストされている特定の JavaScript アプリケーションが Web サービスを利用できないようにするには、信頼するドメインだけをリストに載せるように [AllowedOrigins] の値を変更します。 これにより、不明なアプリケーションから Web サービスに悪意のあるコマンドが送られてくる可能性が低くなります。

注意:

Web Adaptor、リバース プロキシ、またはロード バランサーで実装された CORS ヘッダーの設定は、[AllowedOrigins] プロパティで定義された ArcGIS Server の設定に影響する可能性があります。 ほとんどの場合は、ArcGIS Server が、[AllowedOrigins] プロパティに基づく適切な CORS ヘッダーの送信を管理できるようにすることをお勧めします。 これにより、Web Adaptor、リバース プロキシ、またはロード バランサーに対して個別に CORS ヘッダーを定義する必要がなくなります。 。

  1. ArcGIS Server Administrator Directory を開き、サーバーへの管理アクセス権限を持つユーザーとしてサイン インします。 URL の形式は、https://gisserver.domain.com:6443/arcgis/admin です。
  2. [system] > [handlers] > [rest] > [servicesdirectory] の順にクリックします。
  3. [Services Directory] ページで [edit] をクリックします。
  4. [AllowedOrigins] フィールドに、Web サービスへのアクセスが許可されているコンピューターとそのドメイン名のリストをカンマ区切りで指定します (例: https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com)。
    注意:

    ドメイン名で、コンピューター名の代わりにワイルドカード文字 (*) を使用 (例: https://*.example.com) することはできません。 各コンピューターの完全修飾ドメイン名をリストに指定する必要があります。

  5. [保存] をクリックします。

OGC Web サービスのエンドポイントへのクロスオリジン リクエストを制限

  1. [system] > [handlers] > [soap] > [soaphandlerconfig] の順に参照します。
  2. [SOAP Handler Config] ページで [edit] をクリックします。
  3. [AllowedOrigins] フィールドに、SOAP を介して Web サービスへのアクセスが許可されているコンピューターとそのドメイン名のリストをカンマ区切りで指定します (例: https://machine.esri.com, http://host.arcgis.com, https://gisserver.example.com)。
    注意:

    ドメイン名で、コンピューター名の代わりにワイルドカード文字 (*) を使用 (例: https://*.example.com) することはできません。 各コンピューターの完全修飾ドメイン名をリストに指定する必要があります。

  4. [保存] をクリックします。