Skip To Content

Отключение заголовка no-sniff

По умолчанию, начиная с версии ArcGIS Server 10.7 отправляет сообщение заголовка no-sniff с каждым HTTP-ответом, в котором веб-браузер пользователя указывает тип содержимого ответа.

Этот заголовок блокирует в браузере функцию MIME-sniffing, при которой браузер пытается определить тип содержимого ответа и изменяет тип информации для пользователя. MIME-sniffing открывает возможность потенциальных атак межсайтовых сценариев (XSS). Заголовок no-sniff служит эффективной защитой от XSS.

Администраторы могут отключить заголовок no-sniff. Поскольку рекомендуется поддерживать этот заголовок включенным, администраторы должны быть осторожны и понимать риски, связанные с его отключением. Выполните следующие действия, чтобы отключить заголовок с помощью REST API:

  1. Откройте ArcGIS Server Administrator Directory. Адрес URL должен быть в формате https://server.domain.com:6443/arcgis/admin.
  2. Щелкните система (system) > свойства (properties) > обновить (update).
  3. Введите следующий текст в текстовое поле Свойства:
    {"enableNosniffHeader": false,}
  4. Подтвердите изменения.

    Сервер перезапускается.

Чтобы включить заголовок в будущем, обновите файл свойств JSON так, чтобы свойство EnableNosniffHeader имело значение true.