Limitation des requêtes de plusieurs domaines destinées à ArcGIS Server

Par défaut, ArcGIS Server autorise les requêtes inter-domaines, afin que les plug-ins Adobe Flash Player, Microsoft Silverlight et les clients JavaScript puissent appeler les services du serveur depuis n'importe quel domaine.

Si vous voulez limiter les requêtes à des domaines spécifiques pour Adobe Flash Player et Microsoft Silverlight, vous pouvez placer un jeu de fichiers de stratégie d'accès au client à la racine du serveur Web et les modifier de sorte à répertorier uniquement les domaines fiables. Si vous ne disposez pas d'un jeu de fichiers de stratégie d'accès au client sur votre serveur Web, vous pouvez l'obtenir facilement en décidant de l'installer au cours de la configuration d'ArcGIS Web Adaptor.

Si vous voulez limiter les requêtes à des domaines spécifiques pour les applications Javascript, vous pouvez configurer ArcGIS Server de façon à faire confiance à certains domaines uniquement. Vous pouvez pour cela utiliser le répertoire d'administrateur d'ArcGIS Server.

Consultez les sections ci-dessous pour savoir comment limiter les requêtes des applications Adobe Flash Player, Microsoft Silverlight et Javascript.

Limitation des requêtes des applications Adobe Flash Player et Microsoft Silverlight.

Les plug-ins Adobe Flash Player et Microsoft Silverlight ne sont pas autorisés à accéder à des services Web qui résident en dehors du domaine d'origine de l'application Web. La seule exception est si le serveur Web auquel vous accédez contient un fichier de stratégie d'accès au client répertoriant le domaine de l'application Web comme étant approuvé pour les requêtes inter-domaines. Lorsque vous utilisez Adobe Flex, le fichier de stratégie d'accès au client s'appelle crossdomain.xml. Lorsque vous utilisez Microsoft Silverlight, le fichier est généralement appelé clientaccesspolicy.xml (même si Silverlight peut aussi utiliser crossdomain.xml).

ArcGIS for Server autorise les requêtes inter-domaines par défaut. Un jeu de fichiers de stratégie d'accès au client est placé sur votre serveur SIG à cette fin lors de l'installation d'ArcGIS for Server. Ces fichiers ne doivent pas être supprimés, ouverts ni modifiés.

Si vous voulez empêcher l'utilisation de vos services Web par des applications Flex et Silverlight hébergées sur d'autres domaines, installez ArcGIS Web Adaptor et placez un jeu de fichiers de stratégie d'accès au client distinct à la racine du serveur Web. Le programme d'installation de l'Adaptateur Web peut, en option, créer des fichiers. Quelle que soit la façon dont vous l'obtenez, vous pouvez modifier ce jeu de fichiers pour qu'il contienne une liste des seuls domaines en lesquels vous avez confiance. De cette façon, un contrôle Flash Player ou Silverlight inconnu est moins susceptible d'envoyer des commandes malveillantes à vos services Web.

Voici le fichier crossdomain.xml installé par l'Adaptateur Web. Vous pouvez le modifier pour qu'il soit plus restrictif. Pour connaître la procédure de modification de ce fichier, reportez-vous à la rubrique Spécification de fichier de stratégie inter-domaines Adobe.

Fichier crossdomain.xml installé par l'Adaptateur Web :

<?xml version="1.0" ?> 
<cross-domain-policy>
 <allow-access-from domain="*"/>
 <site-control permitted-cross-domain-policies="all"/>
 <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

Voici le fichier clientaccesspolicy.xml installé par l'Adaptateur Web. Vous pouvez le modifier pour qu'il soit plus restrictif. Pour connaître la procédure de modification d'un fichier clientaccesspolicy.xml, reportez-vous aux rubriques Mise à disposition d'un service au-delà des limites de domaine et Restrictions d'accès de la sécurité réseau dans Silverlight.

Fichier clientaccesspolicy.xml installé par l'Adaptateur Web :

<?xml version="1.0" encoding="utf-8" ?> 
<access-policy>
 <cross-domain-access>
  <policy>
   <allow-from http-request-headers="*">
    <domain uri="*"/>
   </allow-from>
   <grant-to>
    <resource path="/" include-subpaths="true"/>
   </grant-to>
  </policy>
 </cross-domain-access>
</access-policy>
AttentionAttention :

La présence (ou l'absence) de fichiers de stratégie d'accès ne garantit pas la protection de votre site des problèmes pouvant affecter plusieurs sites. Par exemple, les applications ou les scripts ne s'exécutant pas dans Flash Player ou Silverlight peuvent appeler vos services directement via REST, quel que soit le contenu des fichiers de stratégie d'accès au client.

Limitation des requêtes des applications Javascript

Par défaut, ArcGIS Server autorise toutes les applications Javascript à accéder aux services Web. Si vous voulez empêcher l'utilisation de vos services Web par certaines applications Javascript hébergées sur d'autres domaines, vous pouvez configurer ArcGIS Server de façon à inclure une liste des domaines auxquels vous faites confiance uniquement. De cette façon, une application inconnue est moins susceptible d'envoyer des commandes malveillantes à vos services Web.

Etapes :
  1. Ouvrez le répertoire d'administrateur d'ArcGIS Server et ouvrez une session en tant qu'utilisateur doté d'un accès administratif sur le serveur. L'URL est au format suivant : http://gisserver.domain.com:6080/arcgis/admin.
  2. Cliquez sur système > gestionnaires > rest > servicesdirectory.
  3. Sur la page Répertoire des services, cliquez sur mettre à jour..
  4. Dans le champ AllowedOrigins, fournissez une liste d'ordinateurs et de leurs noms de domaines (séparés par une virgule) qui sont autorisés à accéder à vos services Web, par exemple machine.esri.com, host.arcgis.com, gisserver.example.com.
    RemarqueRemarque :

    L'utilisation du caractère générique * en remplacement d'un nom d'ordinateur n'est pas prise en charge. Vous devez spécifier le nom de domaine complet de l'ordinateur dans la liste.

  5. Cliquez sur Enregistrer.
5/10/2014