Usted está aquí:
Acceso de usuario invitado: Preferencias de sitio para invitado que accede al control de API
Esta preferencia de seguridad sirve como una puerta principal que determina si los visitantes no autenticados pueden interactuar con Salesforce Connect subyacente y los extremos REST de cara al público de un sitio de Experience Cloud.
Nombre de control
Acceso de usuario invitado: Preferencias de sitio para API de acceso de invitado
Configuración recomendada
Establezca Experiencia digital>Todos los sitios>Espacio de trabajo>Administración|Preferencias>Permitir a los usuarios invitados acceder a API pública como no seleccionado/desactivado.
Descripción general de control
Esta preferencia de seguridad sirve como una puerta principal que determina si los visitantes no autenticados pueden interactuar con Salesforce Connect subyacente y los extremos REST de cara al público de un sitio de Experience Cloud.
Riesgo de seguridad si no está configurado
Cuando se activa este acceso, proporciona un canal programático abierto (API) para que los actores anónimos consulten metadatos del sitio e intenten extraer datos de registros que se expusieron inadvertidamente a través de permisos a nivel de objeto inseguros.
Escenarios de amenazas
Un atacante utiliza secuencias de comandos automatizadas para alcanzar los extremos de API públicos, descubriendo la estructura interna de objetos personalizados y descargando sistemáticamente todos los registros que no están estrictamente protegidos por un modelo de colaboración privado.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
Permitir el acceso de API anónimo aumenta significativamente la probabilidad de raspado de datos de gran volumen y robo de propiedad intelectual, lo que puede llevar a sanciones regulatorias severas y una pérdida de ventaja competitiva.
Mayor riesgo cuando
Si se otorgó al perfil de usuario invitado acceso de lectura a objetos que contienen lógica de negocio confidencial o si el sitio utiliza controladores Apex personalizados que no se endurecieron para uso no autenticado.
Bajo riesgo cuando
El sitio es puramente estático y no utiliza ningún objeto estándar o personalizado que almacenaría información confidencial o de propiedad.
Consideraciones de negocio e integración
La desactivación de esta preferencia puede evitar que ciertos motores de búsqueda externos o componentes web externos indexen correctamente y muestren contenido de sitio público que se basa en consultas de API en tiempo real.
Remediación recomendada
Vaya a la sección Administración del espacio de trabajo del sitio, seleccione Preferencias y asegúrese de que la casilla de verificación para permitir a los usuarios invitados acceder a la API pública no está seleccionada.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción del acceso de API pública como un estándar arquitectónico obligatorio, asegurándose de que los datos solo se exponen a través de componentes de interfaz de usuario controlados en vez de interfaces programáticas (API) abiertas y no monitoreadas.
