关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题
匿名用户或者非管理员用户不能查看 organization unit 页面:
http://cloudapp.azure.com:4201/powertools-spa/en/USD/organization
期望的行为:
Redirect to login. Anonymous users must not see this page as it reveals the available components of an organization.
只有管理员才能访问。
原因:
Doesn’t conform with product security standard SEC-248.
分析
这主要是体验问题,而不是安全威胁。
OCC API 受到保护,如果没有访问令牌,您将无法获取任何安全数据。
CMS 组件受到保护,您可以限制在 OCC CMS 中公开它们。
CMS 页面不受保护,但只会公开页面元信息(即标题)而不是实际内容。
Spartacus 已经做了足够的工作来保护路由/组件。真正的问题在于 OCC CMS (CMSX-8491)。
对于这种情况,我们已经在 /organization 登陆页面的示例数据中保护了 CMS 组件。这超出了我个人的野心,但现在我们拥有了,我们可以保持这样。
在这种特定情况下,机密性影响可以忽略不计。未经授权的用户(包括匿名用户)只能看到没有严格保密要求的内容。例如,用户可以看到横幅并可以点击链接,但是 OCC API 中的守卫阻止然后看到任何机密信息。
如果其他 CMS 页面实际上包含机密数据,则情况可能略有不同。在这种情况下,斯巴达克斯几乎无能为力。攻击者可以直接使用 OCC CMS API 绕过任何 Spartacus 特定的安全控制。因此,此类安全控制必须由 OCC API 实现,请参阅 CMSX-8491。
下列的 impex 可以为 CMS component 增加访问控制:
INSERT_UPDATE CMSUserGroupRestriction;$contentCV[unique=true];uid[unique=true];name;userGroups(uid);includeSubgroups;components(&componentRef)
;;MyCompanyLinkAdminGroupRestriction;My Company Link Admin Group Restriction;b2badmingroup;true;BudgetsHomeLink,CostCentersHomeLink,UnitsHomeLink,UsersHomeLink,UserGroupsHomeLink,PurchaseLimitsHomeLink
最后的决定:匿名用户也能访问 b2b organization page, 但是看不到任何敏感信息。
关于 SAP 电商云 Spartacus UI 访问 b2b site 的权限问题相关推荐
- SAP 电商云 Spartacus UI 产品搜索结果的设计明细
我们使用如下 url 访问 SAP 电商云 Spartacus UI 产品搜索页面: http://localhost:4000/electronics-spa/en/USD/search/sony ...
- SAP 电商云 Spartacus UI ComponentDataProvider defer 工厂函数
为什么 this.componentService.getItems 最后就触发到 Component-data.provider.ts 工厂函数的执行了? 29行的 getService: getS ...
- SAP 电商云 Spartacus UI 里如何捕捉语言设置的更改
我们知道在 SAP 电商云 Spartacus UI 里,用户可以通过下拉菜单更改当前访问 site 的语言: 监控语言变化的代码: this.subscription.add(this.langua ...
- SAP 电商云 Spartacus UI Proxy Facade 的一个实际例子
如何理解 SAP 电商云 Spartacus UI 中的 proxy facade? Jerry 这篇文章什么是 SAP 电商云 Spartacus UI 的 proxy façade提供了理论上的解 ...
- Mobile first 设计思路在 SAP 电商云 Spartacus UI 中的设计体现一例
关于 Mobile First 的概念,请查看我这篇文章:什么是前端开发中的 mobile first 策略. 下图是 SAP 电商云 Spartacus UI 的搜索结果页面: 其布局设计:temp ...
- 在 SAP 电商云 Spartacus UI 里手动注入 module 的几种排列组合
先把所有的排列组合罗列如下: (1) 通过构造函数注入 QuickOrderFacade,但不调用其方法 (2) 通过构造函数注入 QuickOrderFacade,调用其方法 (3) 手动通过 in ...
- SAP 电商云 Spartacus UI Quick Order 主页的实现
存货单位(英語:stock keeping unit,SKU/ˌɛsˌkeɪˈjuː/),也翻译为库存单元,是一個會計學名詞,定义为库存管理中的最小可用单元,例如纺织品中一个SKU通常表示规格.颜色. ...
- SAP 电商云 Spartacus UI 从 CMS 取回 slots 和 component 之后的处理
从前一篇文章SAP 电商云 Spartacus UI 的双重 layout 配置层设计 我们得知,Spartacus 层面的 layout-config.ts 可以控制 page template 应 ...
- SAP 电商云 Spartacus UI 产品明细页面路由路径的自定义配置
如下图所示,为了减少 SAP 电商云 Spartacus 客户实施时不必要的配置,Spartacus 将不少页面的路由路径的默认配置,定义在如下的 default-routing-config.ts ...
最新文章
- 《数字视频和高清:算法和接口》一第1章 光 栅 图 像
- 抖音访问太频繁-设备注册分析
- 第二阶段团队冲刺(七)
- 社保必须交满15年才能享受吗?
- 法度远程视频审讯系统有哪些主要功能?
- html如何设置整体字体颜色,html字体颜色 html如何设置字体颜色
- 一元云购系统接入短信功能问题汇总
- luogu P2440 木材加工
- 零基础学CocosCreator·第八季-双人对战五子棋
- PHPUnit 在线中文手册
- WORD “锁定标记”的功能
- 15_Python3.6+selenium2.53.6自动化测试_登录126邮箱
- 银河麒麟专用服务器RPM软件包打包方式。
- Python爬虫--Selenium模拟用户的键盘鼠标操作
- ISBN和标准编码关系以及概念
- 中国传统节日网页html,【学习在线】中国传统节日的形成和发展
- 启元世界内推招聘(对标阿里P6-P7)
- 高效管理,OA系统如何做到?
- JavaScript 中内存泄漏的几种情况
- LED 线阵 远程修改 图案