2

我的security.yml

all:
  is_secure: true

new:
  credentials: [add_ticker_source]
edit:
  credentials: [edit_ticker_source]
delete: 
  credentials: [delete_ticker_source]
batchDelete: //I don't know whether it is correct. Should it be batch_delete?
  credentials: [delete_ticker_source]
batch_delete: 
  credentials: [delete_ticker_source]

index: 
  is_secure: false

在我的 中generator.yml,我添加了

  list:
    batch_actions:
      _delete: {credentials: delete_ticker_source}

然后我评论了最后两行并在浏览器中打开了列表视图。因此,在浏览器的列表视图中,我可以在批处理操作的下拉列表中看到删除。现在,我取消了它们的注释并且没有刷新浏览器。我从列表视图中选择了一些元素,在批处理下拉菜单中选择了删除并点击go. 这些项目会立即被删除。这是否意味着批量删除不安全?或者任何人都可以通过嗅探来删除?

我什至尝试在取消注释后清除缓存,但随后元素也被删除。

PS:不,我登录的用户没有delete_ticker_source凭据(如网络调试栏所述)。

4

1 回答 1

1

我尝试了您的设置,但我对这种意外行为感到好奇。所以我浏览了代码,最后我发现为了确保操作安全,我们必须以这种方式batchDelete将设置放入config > actions下:generator.yml

config:
  actions:
    batchDelete:
      credentials: [user_permission]

显然user_permissiondelete_ticker_source给你的。

于 2011-12-29T08:53:24.553 回答