即使已对 ArcGIS Enterprise 门户禁用了 HTTP 访问权限,它仍可能容易受到 SSL Stripping 一类的安全攻击。此类攻击利用了站点与用户的 Web 浏览器之间缺少通信,并通知用户仅使用 HTTPS 请求。如果攻击者在端口 80 上运行您的门户网站的伪造副本,并从用户浏览器拦截初始 HTTP 请求,他们可能会从用户接收到危及安全的信息。
为了消除 SSL stripping 攻击的漏洞,HTTP 严格传输安全 (HSTS) 协议将您的门户配置为将此通信返回给用户的 web 浏览器。可以在 ArcGIS Enterprise11.3 门户中启用 HSTS。
在门户中启用 HTTP 严格传输安全
从 10.6.1 起,ArcGIS Portal Administrator Directory 中的安全配置字符串包含布尔属性 HSTSEnabled,它被默认设置为 false。当此属性更新为 true,门户网站会告知 web 浏览器仅使用安全 HTTPS 发送请求。为此,需要使用标题 Strict-Transport-Security,指导浏览器在由 max-age 属性定义的后续时间段(以秒为单位)内严格使用 HTTPS 请求。此持续时间将设置为一年:Strict-Transport-Security: max-age=31536000。
警告:
如果用户通过您的 ArcGIS Web Adaptor 或反向代理服务器访问您的门户,在您的站点强制执行 HSTS 可能会产生意想不到的后果。根据 HSTS 协议发送的标题,用户的 Web 浏览器只会向这些设备发送 HTTPS 请求;如果托管 ArcGIS Web Adaptor 或反向代理服务器的 Web 服务器同时托管不使用 HTTPS 的其他应用程序,则用户将无法访问这些其他应用程序。启用 HSTS 之前,确保不存在这些依赖关系。
要在门户网站上启用 HSTS,请按照下列步骤操作:
- 在 https://portal.domain.com:7443/arcgis/portaladmin 登录到您的 ArcGIS Portal AdministratorDirectory。
- 浏览安全性 > SSL 证书 > 更新。
- 在此页面上,选中启用 HTTP 严格传输安全 (HSTS) 选项,以启用 HSTS,并确认更新。
注:
默认情况下,Portal for ArcGIS 将对所有通信强制执行 HTTPS。如果您先前已更改此设置以允许门户进行 HTTP 和 HTTPS 通信,则启用 HSTS 将自动强化仅 HTTPS 通信。
- 一旦门户重新启动,它便开始将 Strict-Transport-Security 标头返回给向站点发送请求的所有 web 浏览器。
HTTP 严格传输安全也可以在 ArcGIS Server 站点中启用。