По умолчанию, начиная с версии ArcGIS Server 10.7 отправляет сообщение заголовка no-sniff с каждым HTTP-ответом, в котором веб-браузер пользователя указывает тип содержимого ответа.
Этот заголовок блокирует в браузере функцию MIME-sniffing, при которой браузер пытается определить тип содержимого ответа и изменяет тип информации для пользователя. MIME-sniffing открывает возможность потенциальных атак межсайтовых сценариев (XSS). Заголовок no-sniff служит эффективной защитой от XSS.
Администраторы могут отключить заголовок no-sniff. Поскольку рекомендуется поддерживать этот заголовок включенным, администраторы должны быть осторожны и понимать риски, связанные с его отключением. Выполните следующие действия, чтобы отключить заголовок с помощью REST API:
- Откройте ArcGIS Server Administrator Directory. Адрес URL должен быть в формате https://server.domain.com:6443/arcgis/admin.
- Щелкните система (system) > свойства (properties) > обновить (update).
- Введите следующий текст в текстовое поле Свойства:
{"enableNosniffHeader": false,}
- Подтвердите изменения.
Сервер перезапускается.
Чтобы включить заголовок в будущем, обновите файл свойств JSON так, чтобы свойство EnableNosniffHeader имело значение true.