В некоторых ситуациях ArcGIS Enterprise работает как прокси-сервер. Эта его функциональная возможность реализуется в следующих ситуациях:
- Вы пытаетесь открыть ресурс, находящийся вне вашего портала на другом домене, а CORS (Cross Origin Resource Sharing) не поддерживается. CORS – это технология, которая дает разрешение на взаимодействие веб-сервера и веб-браузера и определяет, должен ли быть разрешен запрос cross-origin.
- Вы пытаетесь поделиться надежным ресурсом с другими пользователями и при этом скрыть учетные данные пользователя, необходимые для доступа к этому ресурсу.
По умолчанию модуль доступа портала не имеет никаких ограничений. Вследствие этого портал может быть использован с целью организации DoS (отказ в обслуживании) и SSRF (подделка запроса на стороне сервера)-атак против любого компьютера, доступного для компьютера портала. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить возможности прокси-модуля портала, определив для него список доверенных веб-адресов. ArcGIS Enterprise сможет направлять прокси-запросы только на адреса, указанные в этом списке; все другие адреса будут блокироваться. Если ArcGIS Server интегрирован с порталом, то этот список должен содержать адреса всех компьютеров этого сайта, а также всех ресурсов, опубликованных на этом портале в качестве элемента.
Чтобы задать список доверенных адресов, выполните следующие действия.
- Откройте веб-браузер и войдите в ArcGIS Enterprise Administrator Directory в качестве администратора своей организации. URL-адрес имеет формат https://example.organization.com/<context>/admin.
- Щелкните Безопасность > Конфигурация > Обновить конфигурацию.
- В поле Security Configuration (JSON) добавьте параметр allowedProxyHosts и укажите список доверенных адресов, например:
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false; "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }Примечание:
Используйте формат (.*).domain.com, чтобы разрешить прокси-запросы на все компьютеры в заданном домене. Используйте звездочки (*) с осторожностью, чтобы случайно не предоставить доступ неправомочным пользователям. - Щелкните Обновить конфигурацию безопасности.