Ti trovi qui:
Accesso utente guest: Preferenze del sito per l'accesso guest al controllo API
Questa preferenza di sicurezza funge da cancello principale che determina se i visitatori non autenticati possono interagire con Salesforce Connect sottostante e gli endpoint REST rivolti al pubblico di un sito Experience Cloud.
Nome controllo
Accesso utente guest: Preferenze del sito per l'API Accesso guest
Configurazione consigliata
Impostare Esperienza digitale>Tutti i siti>Area di lavoro>Amministrazione|Preferenze>Consenti agli utenti guest di accedere all'API pubblica su deselezionato/disabilitato.
Panoramica sul controllo
Questa preferenza di sicurezza funge da cancello principale che determina se i visitatori non autenticati possono interagire con Salesforce Connect sottostante e gli endpoint REST rivolti al pubblico di un sito Experience Cloud.
Rischio per la sicurezza se non configurato
Quando questo accesso è abilitato, fornisce un canale API (Open Programmatic) per gli attori anonimi per eseguire query sui metadati del sito e tentare di estrarre i dati dei record che sono stati esposti inavvertitamente tramite autorizzazioni a livello di oggetto non sicure.
Scenari di minaccia
Un aggressore utilizza script automatici per colpire gli endpoint API pubblici, scoprendo la struttura interna degli oggetti personalizzati e scaricando sistematicamente tutti i record che non sono strettamente protetti da un modello di condivisione privato.
Intervallo di punteggi CVSS stimato
Alto (7,0–8,9).
Considerazioni sull'impatto del rischio
Consentire l'accesso API anonimo aumenta in modo significativo la probabilità di furto di dati e proprietà intellettuale a volume elevato, che può portare a severe sanzioni normative e a una perdita di vantaggio competitivo.
Rischio maggiore quando
Se al profilo utente guest è stato concesso l'accesso in lettura agli oggetti contenenti logica aziendale sensibile o se il sito utilizza controller Apex personalizzati che non sono stati sottoposti a hardening per uso non autenticato.
Basso rischio quando
Il sito è puramente statico e non utilizza oggetti standard o personalizzati che memorizzerebbero informazioni sensibili o proprietarie.
Considerazioni su Business e integrazione
La disabilitazione di questa preferenza può impedire a determinati motori di ricerca esterni o componenti Web di terze parti di indicizzare e visualizzare correttamente il contenuto del sito pubblico basato su query API in tempo reale.
Rimedio consigliato
Accedere alla sezione Amministrazione dell'area di lavoro del sito, selezionare Preferenze e verificare che la casella di controllo per consentire agli utenti guest di accedere all'API pubblica sia deselezionata.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la restrizione dell'accesso all'API pubblica come uno standard architettonico obbligatorio, assicurando che i dati vengano esposti solo attraverso componenti dell'interfaccia utente controllati anziché interfacce API (programmatic) aperte e non monitorate.
