配置启动跨域访问白名单

GIS 服务器实现了 HTML5 跨源资源共享（CORS）策略。如果 GIS 服务器依赖于网络防火墙或其他基于 IP 的访问控制，则此策略可能存在安全风险。GIS 服务器 启动后默认允许来自任意域的跨域请求访问成功，将会遇到以下安全问题：

• 跨域策略配置不当

建议您可以通过配置跨域访问的白名单，进行更精准的控制。

以 iServer 为例，通过修改 web.xml 配置文件（位于【SuperMap iServer 安装目录】\webapps\iserver\WEB-INF目录下）来配置跨域访问的白名单，如下所示：

<init-param>
  <param-name>cors.allowed.origins</param-name>
  <param-value>*</param-value>
</init-param>

其中<param-value>的默认值为*，表示允许来自任意域的跨域请求访问成功，您可以将<param-value>值修改为允许访问资源的来源列表，用逗号分隔，举例如下：

<init-param>
  <param-name>cors.allowed.origins</param-name>
  <param-value>https://www.bing.com,https://www.baidu.com</param-value>
</init-param>

通过以上配置，表示只允许来自 https://www.bing.com 和 https://www.baidu.com 两个域的跨域请求访问成功，不允许其他来源访问 iServer 资源。修改该配置项后需重启 iServer 生效。