我需要将这些权限授予匿名和经过身份验证的用户:
- 内容:绕过内容访问控制
- 视图:绕过视图访问控制
(否则这些用户无法看到视图的内容)
有什么我需要在其他地方保护的吗?这是一种“危险”的做法还是属于例外权限?
谢谢
问问题
760 次
1 回答
2
这是非常危险的做法,这就是为什么您会在主权限页面上的这些权限下方收到一个很好的大警告:
警告:仅授予受信任的角色;此权限具有安全隐患。
这意味着您网站的任何访问者都可以添加/编辑/删除他们希望的任何内容和视图。如果这适合您的用例(尽管我无法想象它会),那么将这些权限授予每个人是正确的做法。
如果没有,我建议您定义适当的安全策略并查看内容访问等模块来保护您的站点。
于 2012-07-09T10:45:05.700 回答