我将带有standardcontroller="account" 的页面暴露给面向公众的force.com 网站。此页面向客户显示帐户特定数据。现在,当客户登录我的网站时,我希望他能够访问他的帐户数据,并且只能访问他的帐户数据。这是问题所在;带有标准控制器的页面的 url 有一个 Id 字段,例如“https//www.myforcesite.force.com/AccountViewPage?Id=a82347dod”。如果用户更改了 Id 上的几个键,他很容易访问其他人的帐户页面并绕过登录过程。我怎样才能防止这种情况。
我向销售人员开了一张票,但他们告诉我它按预期工作。我认为不应该针对微不足道的蛮力攻击的漏洞,所以我想知道是否有任何修复?
创建一个 StandardController 扩展并检查您网站中的登录用户是否有权查看该帐户。 http://www.salesforce.com/us/developer/docs/pages/Content/apex_pages_standardcontroller.htm
您正在寻找的是force.com 网站的URL 重写。
例如,假设您有一个博客站点。如果没有 URL 重写,博客条目的 URL 可能如下所示: http://myblog.force.com/posts?id= 003D000000Q0PcN
通过 URL 重写,您的用户可以按日期和标题访问博客文章,而不是按记录 ID。您的新年前夜帖子之一的 URL 可能是: http: //myblog.force.com/posts/2009/12/31/auld-lang-syne