Beschränken von domänenübergreifenden Anforderungen an einen ArcGIS-Server

Was versteht man unter Richtliniendateien für den Client-Zugriff und wie stehen sie mit ArcGIS-Server in Beziehung?

Für die Plug-Ins Adobe Flash Player und Microsoft Silverlight ist der Zugriff auf Web-Services nicht erlaubt, die sich in einer anderen Domäne befinden als die Webanwendung. Dies gilt nicht, wenn der Webserver, auf den zugegriffen wird, eine Richtliniendatei für den Client-Zugriff enthält, in der die Domäne der Webanwendung als Domäne aufgeführt wird, die für domänenübergreifende Anforderungen zugelassen ist. Bei Adobe Flex lautet der Name der Richtliniendatei für den Client-Zugriff "crossdomain.xml". Wenn mit Microsoft Silverlight gearbeitet wird, ist dies in der Regel die Datei "clientaccesspolicy.xml" (obwohl Silverlight auch mit der Datei "crossdomain.xml" arbeiten kann).

Domänenübergreifende Anforderungen sind in ArcGIS-Server standardmäßig zulässig. Zu diesem Zweck wird eine Reihe von Richtliniendateien für den Client-Zugriff auf dem GIS-Server abgelegt, wenn ArcGIS for Server installiert wird. Diese sollten weder verschoben, noch geöffnet oder geändert werden.

Wenn Sie die Verwendung der Webservices durch Flex- oder Silverlight-Anwendungen verhindern möchten, die von anderen Domänen gehostet werden, sollten Sie ArcGIS Web Adaptor installieren und getrennte Richtliniendateien für den Client-Zugriff auf der Stammverzeichnisebene Ihres Webservers ablegen. Diese Dateien können beim Einrichten von Web Adaptor optional für Sie erstellt werden. Unabhängig davon, wie Sie die Dateien erhalten, können Sie sie so ändern, dass sie eine Liste mit ausschließlich vertrauenswürdigen Domänen enthalten. Dadurch minimieren Sie das Risiko, dass von einem unbekannten Flash Player- oder Silverlight-Steuerelement bösartige Befehle an Ihre Web-Services gesendet werden.

Bei der folgenden Datei handelt es sich um die von Web Adaptor installierte Datei "crossdomain.xml". Sie kann so geändert werden, dass stärkere Einschränkungen definiert werden. Weitere Informationen zum Ändern dieser Datei finden Sie unter Adobe cross-domain policy file specification (nur in englischer Sprache verfügbar).

<?xml version="1.0" ?> 
<cross-domain-policy>
 <allow-access-from domain="*"/>
 <site-control permitted-cross-domain-policies="all"/>
 <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

Bei der folgenden Datei handelt es sich um die von Web Adaptor installierte Datei "clientaccesspolicy.xml". Sie kann so geändert werden, dass stärkere Einschränkungen definiert werden. Informationen zum Ändern einer clientaccesspolicy.xml-Datei finden Sie unter Verfügbarmachen eines Dienstes über Domänengrenzen hinweg und Zugriffsbeschränkungen für die Netzwerksicherheit in Microsoft Silverlight.

<?xml version="1.0" encoding="utf-8" ?> 
<access-policy>
 <cross-domain-access>
  <policy>
   <allow-from http-request-headers="*">
    <domain uri="*"/>
   </allow-from>
   <grant-to>
    <resource path="/" include-subpaths="true"/>
   </grant-to>
  </policy>
 </cross-domain-access>
</access-policy>

Achtung:

Ob Richtliniendateien für den Client-Zugriff vorhanden sind oder nicht, schützt Ihre Site nicht vor Site-übergreifenden Bedrohungen. Beispielsweise können Anwendungen oder Skripte, die nicht in Flash Player oder Silverlight ausgeführt werden, Ihre Services unabhängig vom Inhalt der Richtliniendateien für den Client-Zugriff direkt über REST aufrufen.