Usted está aquí:
Acceso de usuario invitado: Preferencias de sitio para API de acceso de invitado
Esta preferencia de seguridad sirve como una puerta principal que determina si los visitantes no autenticados pueden interactuar con Salesforce Connect subyacente y los extremos de REST de cara al público de un sitio de Experience Cloud.
Nombre de control
Acceso de usuario invitado: Preferencias de sitio para API de acceso de invitado
Configuración recomendada
Establezca Experiencia digital>Todos los sitios>Espacio de trabajo>Administración|Preferencias>Permitir a los usuarios invitados acceder a la API pública como desactivado/desactivado.
Descripción general de control
Esta preferencia de seguridad sirve como una puerta principal que determina si los visitantes no autenticados pueden interactuar con Salesforce Connect subyacente y los extremos de REST de cara al público de un sitio de Experience Cloud.
Riesgo de seguridad si no está configurado
Cuando se activa este acceso, proporciona un canal programático abierto (API) para que los actores anónimos consulten metadatos del sitio e intenten extraer datos de registros que se han expuesto inadvertidamente a través de permisos a nivel de objeto inseguros.
Escenarios de amenazas
Un atacante utiliza secuencias de comandos automatizadas para alcanzar los extremos de API públicos, descubriendo la estructura interna de objetos personalizados y descargando sistemáticamente todos los registros que no están estrictamente protegidos por un modelo de colaboración privado.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
Permitir el acceso anónimo a API aumenta significativamente la probabilidad de raspado de datos de gran volumen y robo de propiedad intelectual, lo que puede llevar a sanciones reguladoras severas y una pérdida de ventaja competitiva.
Riesgo más alto cuando
Si se otorgó al perfil de usuario invitado acceso de lectura a objetos que contienen lógica comercial confidencial o si el sitio utiliza controladores Apex personalizados que no se endurecieron para uso no autenticado.
Bajo riesgo cuando
El sitio es puramente estático y no utiliza ningún objeto estándar o personalizado que almacene información confidencial o propiedad.
Consideraciones comerciales y de integración
La desactivación de esta preferencia puede evitar que ciertos motores de búsqueda externos o componentes web externos indexen correctamente y muestren contenido de sitio público que se basa en consultas de API en tiempo real.
Remediación recomendada
Vaya a la sección Administración del espacio de trabajo del sitio, seleccione Preferencias y asegúrese de que la casilla de verificación para permitir a los usuarios invitados acceder a la API pública está anulada.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción de acceso de API pública como un estándar arquitectónico obligatorio, asegurándose de que los datos solo se exponen a través de componentes de interfaz de usuario controlados en vez de interfaces programáticas (API) abiertas y no supervisadas.
