По умолчанию ArcGIS Server отправляет сообщение заголовка no-sniff с каждым HTTP-ответом, в котором веб-браузер пользователя указывает тип содержимого ответа.
Этот заголовок блокирует в браузере функцию MIME-sniffing, при которой браузер пытается определить тип содержимого ответа и изменяет тип информации для пользователя. MIME-sniffing открывает возможность потенциальных атак межсайтовых сценариев (XSS). Заголовок no-sniff служит эффективной защитой от XSS.
Администраторы могут отключить заголовок no-sniff. Поскольку рекомендуется поддерживать этот заголовок включенным, администраторы должны быть осторожны и понимать риски, связанные с его отключением. Выполните следующие действия, чтобы отключить заголовок с помощью REST API:
- Откройте ArcGIS Server Administrator Directory. Адрес URL имеет формат https://server.domain.com:6443/arcgis/admin.
- Щелкните Система > Свойства > Обновить.
- Введите следующий текст в текстовое поле Свойства:
{"enableNosniffHeader": "false",} - Подтвердите изменения.
Сервер будет перезапущен.
Чтобы включить заголовок в будущем, обновите файл свойств JSON так, чтобы у свойства EnableNosniffHeader было значение true.