我正在將一個帶有standardcontroller =「account」的頁面暴露給面向公衆的force.com站點。該頁面向客戶顯示賬戶特定數據。現在,當一個客戶登錄我的網站時,我希望他能夠訪問他的賬戶數據和他的賬戶數據。這是問題;具有標準控制器的頁面的URL具有Id字段,例如「https // www.myforcesite.force.com/AccountViewPage?Id = a82347dod」。如果用戶更改了ID上的幾個鍵,他很容易訪問其他人的帳戶頁面並繞過登錄過程。我怎樣才能防止這一點。force.com網站缺乏安全性?
我用salesforce打開了一張票,但他們告訴我它按預期工作。我不認爲應該打算髮生微不足道的暴力攻擊,所以我想知道是否有任何修復?
創建一個StandardController擴展,並檢查您的網站中記錄的用戶是否有權查看該帳戶。 http://www.salesforce.com/us/developer/docs/pages/Content/apex_pages_standardcontroller.htm
是的,這是做到這一點的方法。您需要以某種方式實現您自己的自定義授權機制,以防止用戶訪問他們不允許查看的頁面。 –
你在找什麼是URL rewriting的force.com網站。
例如,假設您有一個博客網站。沒有URL重寫,博客條目的URL可能如下所示:http://myblog.force.com/posts?id=003D000000Q0PcN
通過URL重寫,您的用戶可以按日期和標題而不是記錄標識訪問博客文章。爲您的新 除夕之夜的某條信息的URL可能是: http://myblog.force.com/posts/2009/12/31/auld-lang-syne
難道真的那麼容易找到其他有效身份證件? – Gumbo
您是否通過身份證?是不是與登錄關聯?你可以每次都檢查登錄ID和賬戶ID嗎? – Limey
@Gumbo。是的,大多數Id只有1個字符(最後一個)。 –