即使您已经对 ArcGIS Enterprise 门户禁用了 HTTP 访问,它仍可能容易受到 stripping 一类的安全攻击。这种类型的攻击利用了站点与用户 web 浏览器之间缺乏通信的情况,通知用户仅使用 HTTPS 请求。如果攻击者在端口 80 上运行您的门户网站的伪造副本,并从用户浏览器拦截初始 HTTP 请求,他们可能会从用户接收到危及安全的信息。
为了消除 SSL stripping 攻击的漏洞,HTTP 严格传输安全 (HSTS) 协议将您的门户配置为将此通信返回给用户的 web 浏览器。可以在 ArcGIS Enterprise10.6.1 门户中启用 HSTS。
在门户中启用 HTTP 严格传输安全
从 10.6.1 起,ArcGIS Portal Administrator Directory 中的安全配置字符串包含布尔属性 HSTSEnabled,它被默认设置为 false。当此属性更新为 true,门户网站会告知 web 浏览器仅使用安全 HTTPS 发送请求。这使用标头 Strict-Transport-Security 完成,引导浏览器在由其 max-age 属性(以秒为单位)定义的后续时间段内严格使用 HTTPS 请求。此期限设置为一年:Strict-Transport-Security: max-age=31536000。
警告:
如果用户通过您的 ArcGIS Web Adaptor 或反向代理服务器访问您的门户,在您的站点强制执行 HSTS 可能会产生意想不到的后果。根据 HSTS 协议发送的标头,用户的 web 浏览器只会向这些设备发送 HTTPS 请求;如果 web 服务器托管您的 ArcGIS Web Adaptor 或者反向代理服务器同时托管其他不使用 HTTPS 的应用程序,则用户将无法访问其他应用程序。启用 HSTS 之前,请确保不存在这些依赖性。
要在门户网站上启用 HSTS,请按照下列步骤操作:
- 在 https://portal.domain.com:7443/arcgis/portaladmin 登录到您的 ArcGIS Portal AdministratorDirectory。
- 浏览安全性 > SSL 证书 > 更新。
- 在此页面上,选中启用 HTTP 严格传输安全 (HSTS) 选项,以启用 HSTS,并确认更新。
注:
如果您尚未将您的门户配置为需要所有通信都使用 HTTPS,在此启用 HSTS 将自动执行此操作。
- 一旦门户重新启动,它便开始将 Strict-Transport-Security 标头返回给向站点发送请求的所有 web 浏览器。
HTTP 严格传输安全也可以在 ArcGIS Server 站点中启用。