Limitation des requêtes de plusieurs domaines destinées à ArcGIS Server
Par défaut, ArcGIS for Server autorise les requêtes inter-domaines, afin que les plug-ins Adobe Flash Player et Microsoft Silverlight puissent appeler les services du serveur depuis n'importe quel domaine. Si vous voulez limiter les requêtes provenant d'autres domaines, vous pouvez placer un jeu de fichiers de stratégie d'accès au client à la racine du serveur Web et les modifier de sorte à répertorier uniquement les domaines fiables. Si vous ne disposez pas d'un jeu de fichiers de stratégie d'accès au client sur votre serveur Web, vous pouvez l'obtenir facilement en décidant de l'installer au cours de la configuration d'ArcGIS Web Adaptor.
En quoi consistent les fichiers de stratégie d'accès au client et en quoi concernent-ils ArcGIS for Server ?
Les plug-ins Adobe Flash Player et Microsoft Silverlight ne sont pas autorisés à accéder à des services Web qui résident en dehors du domaine d'origine de l'application Web. La seule exception est si le serveur Web auquel vous accédez contient un fichier de stratégie d'accès au client répertoriant le domaine de l'application Web comme étant approuvé pour les requêtes inter-domaines. Lorsque vous utilisez Adobe Flex, le fichier de stratégie d'accès au client s'appelle crossdomain.xml. Lorsque vous utilisez Microsoft Silverlight, le fichier est généralement appelé clientaccesspolicy.xml (même si Silverlight peut aussi utiliser crossdomain.xml).
ArcGIS for Server autorise les requêtes inter-domaines par défaut. Un jeu de fichiers de stratégie d'accès au client est placé sur votre serveur SIG à cette fin lors de l'installation d'ArcGIS for Server. Ces fichiers ne doivent pas être supprimés, ouverts ni modifiés.
Si vous voulez empêcher l'utilisation de vos services Web par des applications Flex et Silverlight hébergées sur d'autres domaines, installez ArcGIS Web Adaptor et placez un jeu de fichiers de stratégie d'accès au client distinct à la racine du serveur Web. Le programme d'installation de l'Adaptateur Web peut, en option, créer des fichiers. Quelle que soit la façon dont vous l'obtenez, vous pouvez modifier ce jeu de fichiers pour qu'il contienne une liste des seuls domaines en lesquels vous avez confiance. De cette façon, un contrôle Flash Player ou Silverlight inconnu est moins susceptible d'envoyer des commandes malveillantes à vos services Web.
Voici le fichier crossdomain.xml installé par l'Adaptateur Web. Vous pouvez le modifier pour qu'il soit plus restrictif. Pour connaître la procédure de modification de ce fichier, reportez-vous à la rubrique Spécification de fichier de stratégie inter-domaines Adobe.
Fichier crossdomain.xml installé par l'Adaptateur Web :
<?xml version="1.0" ?>
<cross-domain-policy>
<allow-access-from domain="*"/>
<site-control permitted-cross-domain-policies="all"/>
<allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>
Voici le fichier clientaccesspolicy.xml installé par l'Adaptateur Web. Vous pouvez le modifier pour qu'il soit plus restrictif. Pour connaître la procédure de modification d'un fichier clientaccesspolicy.xml, reportez-vous aux rubriques Mise à disposition d'un service au-delà des limites de domaine et Restrictions d'accès de la sécurité réseau dans Silverlight.
Fichier clientaccesspolicy.xml installé par l'Adaptateur Web :
<?xml version="1.0" encoding="utf-8" ?>
<access-policy>
<cross-domain-access>
<policy>
<allow-from http-request-headers="*">
<domain uri="*"/>
</allow-from>
<grant-to>
<resource path="/" include-subpaths="true"/>
</grant-to>
</policy>
</cross-domain-access>
</access-policy>
Attention :La présence (ou l'absence) de fichiers de stratégie d'accès ne garantit pas la protection de votre site des problèmes pouvant affecter plusieurs sites. Par exemple, les applications ou les scripts ne s'exécutant pas dans Flash Player ou Silverlight peuvent appeler vos services directement via REST, quel que soit le contenu des fichiers de stratégie d'accès au client.