1

standardcontroller="account" を含むページを一般向けの force.com サイトに公開しています。このページには、アカウント固有のデータがクライアントに表示されます。顧客が私の Web サイトにログインしたときに、自分のアカウントのデータだけにアクセスできるようにしたいと考えています。ここに問題があります。標準コントローラを含むページの URL には、「https://www.myforcesite.force.com/AccountViewPage?Id=a82347dod」などの Id フィールドがあります。ユーザーが Id のいくつかのキーを変更すると、他のユーザーのアカウント ページに簡単にアクセスして、ログイン プロセスをバイパスできます。どうすればそれを防ぐことができますか。

Salesforce でチケットをオープンしましたが、意図したとおりに機能していると言われました。些細なブルート フォース攻撃に対する脆弱性を意図するべきではないと思うので、修正方法があるかどうか知りたいですか?

4

2 に答える 2

0

あなたが探しているのは、force.com サイトのURL 書き換えです。

たとえば、ブログ サイトがあるとします。URL 書き換えを行わない場合、ブログ エントリの URL はhttp://myblog.force.com/posts?id=003D000000Q0PcNのようになります。

URL 書き換えを使用すると、ユーザーは、たとえばレコード ID ではなく、日付とタイトルでブログ投稿にアクセスできます。大晦日の投稿の URL は次のようになります: http://myblog.force.com/posts/2009/12/31/auld-lang-syne

于 2014-11-21T00:52:08.120 に答える