В некоторых ситуациях Portal for ArcGIS работает как прокси-сервер. Эта его функциональная возможность реализуется в следующих ситуациях:
- Вы пытаетесь открыть ресурс, находящийся вне вашего портала на другом домене, а CORS (Cross Origin Resource Sharing) не поддерживается. CORS – это технология, которая дает разрешение на взаимодействие веб-сервера и веб-браузера и определяет, должен ли быть разрешен запрос cross-origin.
- Вы пытаетесь поделиться надежным ресурсом с другими пользователями и при этом скрыть учетные данные пользователя, необходимые для доступа к этому ресурсу.
По умолчанию модуль доступа портала не имеет никаких ограничений. Вследствие этого портал может быть использован с целью организации DoS (отказ в обслуживании) и SSRF (подделка запроса на стороне сервера)-атак против любого компьютера, доступного для компьютера портала. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить возможности прокси-модуля портала, определив для него список доверенных веб-адресов. Portal for ArcGIS сможет направлять прокси-запросы только на адреса, указанные в этом списке; все другие адреса будут блокироваться. Если ArcGIS Server интегрирован с порталом, то этот список должен содержать адреса всех компьютеров этого сайта, а также всех ресурсов, опубликованных на этом портале в качестве элемента.
Чтобы задать список доверенных адресов, выполните следующие действия.
- Откройте веб-браузер и войдите в ArcGIS Portal Directory в качестве администратора организации. URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Щелкните Безопасность > Настроить > Обновить конфигурацию безопасности.
- В поле Конфигурация добавьте параметр allowedProxyHosts и укажите список доверенных адресов, например:
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false, "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
Примечание:
Используйте формат (.*).domain.com, чтобы разрешить прокси-запросы на все компьютеры в заданном домене. Используйте звездочки (*) с осторожностью, чтобы случайно не предоставить доступ неправомочным пользователям.
- Щелкните Обновить конфигурацию