Skip To Content

禁用 no-sniff 标头

默认从 10.7 开始, ArcGIS Server 会发送一条 no-sniff 标头消息,其中每个 HTTP 响应都会指示用户的 Web 浏览器支持响应的内容类型。

此标头会阻止浏览器进行 MIME-sniffing;在该过程中浏览器会尝试确定响应的内容类型并更改用户的内容类型。MIME-sniffing 将使用户暴露于潜在的跨站点脚本 (XSS) 攻击之下。no-sniff 标头是对 XSS 的有效防御。

管理员可以禁用 no-sniff 标头。因为将此标头保持在启用状态是一种安全性最佳做法,所以管理员应小心谨慎并充分了解禁用此标头所涉及的各类风险。可按照以下步骤使用 REST API 将标头禁用:

  1. 打开 ArcGIS Server Administrator Directory。URL 地址格式为 https://server.domain.com:6443/arcgis/admin
  2. 单击 system > Properties > update
  3. Properties 文本框中添加以下文本:
    {"enableNosniffHeader": false,}
  4. 单击以确认更新。

    服务器 随即重新启动。

如需在此后启用该标头,请更新 JSON 属性文件,使 EnableNosniffHeader 属性具有值 true