即使您 ArcGIS Server 站点的 web 协议设置为仅 HTTPS,它仍可能容易受到 SSL stripping 一类的安全攻击。此类攻击利用了站点与用户的 Web 浏览器之间缺少通信,并通知用户仅使用 HTTPS 请求。如果攻击者在端口 80 上运行 ArcGIS Server 站点的虚假副本并拦截来自用户浏览器的初始 HTTP 请求,他们可能会收到来自用户的妥协安全信息。
为了消除 SSL 剥离攻击的此类漏洞,可使用 HTTP 严格传输安全 (HSTS) 协议将您的站点配置为重新将此通信提供给用户的 Web 浏览器。可在 ArcGIS Server 11.2 站点中启用 HSTS。
在您的站点中启用 HSTS
从 10.6.1 开始,站点 ArcGIS Server 管理员目录中的安全性配置字符串包含一个布尔属性 HSTSEnabled,该属性默认设置为 false。当此属性更新为 true 时,ArcGIS Server 站点会告知 Web 浏览器仅发送使用安全 HTTPS 的请求。为此,需要使用标题 Strict-Transport-Security,指导浏览器在由 max-age 属性定义的后续时间段(以秒为单位)内严格使用 HTTPS 请求。此持续时间将设置为一年:Strict-Transport-Security: max-age=31536000。
警告:
如果用户通过 ArcGIS Web Adaptor 或反向代理服务器访问 ArcGIS Server 站点,则在站点中强制使用 HSTS 可能会导致意想不到的结果。根据 HSTS 协议发送的标题,用户的 Web 浏览器只会向这些设备发送 HTTPS 请求;如果托管 ArcGIS Web Adaptor 或反向代理服务器的 Web 服务器同时托管不使用 HTTPS 的其他应用程序,则用户将无法访问这些其他应用程序。启用 HSTS 之前,请确保不存在这些依赖关系。
要在 ArcGIS Server 站点中启用 HSTS,请执行以下步骤。
- 登录 ArcGIS Server 管理员目录,路径为 https://gisserver.domain.com:6443/arcgis/admin。
- 浏览至安全性 > 配置 > 更新。
- 如果协议参数尚未设置为仅 HTTPS,请立即设置。
- 通过站点协议禁用 HTTP 通信后,即可使用启用 HTTP 严格传输安全 (HSTS) 选项。选中此框以启用 HSTS,然后单击更新。
- 重新启动服务器站点后,即会开始将 Strict-Transport-Security 标题返回给向该站点发送请求的所有 Web 浏览器。
也可以在 ArcGIS Enterprise 门户中启用 HTTP 严格传输安全。