Vous êtes ici :
Accès utilisateur invité : Préférences de site pour l'API Accès invité
Cette préférence de sécurité sert de porte principale qui détermine si les visiteurs non authentifiés peuvent interagir avec les points de terminaison Salesforce Connect sous-jacents et REST accessibles au public d'un site Experience Cloud.
Nom du contrôle
Accès utilisateur invité : Préférences de site pour l'API Accès invité
Configuration recommandée
Définissez Expérience numérique>Tous les sites>Espace de travail>Administration|Préférences>Autoriser les utilisateurs invités à accéder à l'API publique sur non coché/désactivé.
Vue d'ensemble du contrôle
Cette préférence de sécurité sert de porte principale qui détermine si les visiteurs non authentifiés peuvent interagir avec les points de terminaison Salesforce Connect sous-jacents et REST accessibles au public d'un site Experience Cloud.
Risque de sécurité s'il n'est pas configuré
Lorsque cet accès est activé, il fournit un canal programmatique (API) ouvert permettant aux acteurs anonymes d'interroger des métadonnées de site et de tenter d'extraire des données d'enregistrement qui ont été involontairement exposées via des autorisations au niveau de l'objet non sécurisées.
Scénarios de menace
Un assaillant utilise des scripts automatisés pour atteindre les points de terminaison d'API publics, en découvrant la structure interne des objets personnalisés et en téléchargeant systématiquement tous les enregistrements qui ne sont pas strictement protégés par un modèle de partage privé.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
L'autorisation de l'accès anonyme aux API augmente considérablement la probabilité de vol de données et de vol de propriété intellectuelle à haut volume, ce qui peut entraîner de lourdes sanctions réglementaires et une perte d'avantage concurrentiel.
Risque plus élevé quand
Si le profil utilisateur invité a obtenu l'accès en lecture aux objets contenant une logique métier sensible ou si le site utilise des contrôleurs Apex personnalisés qui n'ont pas été durcis pour un usage non authentifié.
Risque faible quand
Le site est purement statique et n'utilise aucun objet standard ou personnalisé qui stockerait des informations confidentielles ou exclusives.
Considérations relatives à l'entreprise et à l'intégration
La désactivation de cette préférence peut empêcher certains moteurs de recherche externes ou composants Web tiers d'indexer et d'afficher correctement les contenus de sites publics qui s'appuient sur des requêtes d'API en temps réel.
Remédiation recommandée
Accédez à la section Administration de l'espace de travail du site, sélectionnez Préférences, puis assurez-vous que la case permettant aux utilisateurs invités d'accéder à l'API publique est désactivée.
Guide d'examen sanitaire de sécurité
Security Health Review identifie la restriction de l'accès public aux API comme une norme architecturale obligatoire, en s'assurant que les données sont exposées uniquement via des composants d'interface utilisateur contrôlée, plutôt que des interfaces programmatiques (API) ouvertes et non surveillées.
