問題
-
以下の行は、ゲストユーザーが機密データを見るべきでないページで見ることができます。
getSiteAdminURL: function() { return '<domainname>/group/guest/~/control_panel/manage?p_p_lifecycle=0&p_p_state=maximized&p_p_mode=view'; },
Environment
- DXP 7.4+
解決策
- これが期待される行動です。
- LiferayはこのURLへのアクセスを権限フレームワークによって緩和します。もしこのURLが必要な認証情報なしでサーバーから要求された場合、要求者は404ページまたはログインページ(セキュリティ設定に依存)を受け取ることになるでしょう。
- Liferayはオープンソースソフトウェアなので、誰でもこのURLパターンを見つけて、Liferayインスタンスに仕立てて、有効なサイト管理者URLを偽造することができますが、そこに到達することはできませんので、これは重要です。
追加情報
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン