Você está aqui:
Acesso do usuário convidado: Preferências do site para a API de acesso do convidado
Essa preferência de segurança serve como um gateway mestre que determina se os visitantes não autenticados podem interagir com os pontos de extremidade REST voltados para o público e o Salesforce Connect subjacentes de um site do Experience Cloud.
Nome do controle
Acesso do usuário convidado: Preferências do site para a API de acesso do convidado
Configuração recomendada
Defina Experiência digital>Todos os sites>Espaço de trabalho>Administração |Preferências>Permitir que usuários convidados acessem a API pública para desmarcado/desabilitado.
Visão geral de controle
Essa preferência de segurança serve como um gateway mestre que determina se os visitantes não autenticados podem interagir com os pontos de extremidade REST voltados para o público e o Salesforce Connect subjacentes de um site do Experience Cloud.
Risco de segurança, se não configurado
Quando esse acesso está habilitado, ele fornece um canal programático (API) aberto para atores anônimos consultarem metadados do site e tentarem extrair dados de registro que foram expostos inadvertidamente por meio de permissões em nível de objeto inseguras.
Cenários de ameaça
Um invasor usa scripts automatizados para atingir os pontos de extremidade da API pública, descobrindo a estrutura interna de objetos personalizados e baixando sistematicamente todos os registros que não são estritamente protegidos por um modelo de compartilhamento privado.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Permitir acesso à API anônima aumenta significativamente a probabilidade de rascunho de dados de alto volume e roubo de propriedade intelectual, o que pode levar a severas sanções regulatórias e perda de vantagem competitiva.
Risco maior quando
Se o perfil de usuário convidado tiver recebido acesso de leitura a objetos que contenham lógica comercial confidencial ou se o site usar controladores personalizados do Apex que não tenham sido endurecidos para uso não autenticado.
Baixo risco quando
O site é puramente estático e não usa objetos padrão ou personalizados que armazenariam informações confidenciais ou proprietárias.
Considerações de negócios e integração
Desabilitar essa preferência pode impedir que determinados mecanismos de pesquisa externos ou componentes da Web de terceiros indexem e mostrem corretamente o conteúdo do site público que depende de consultas da API em tempo real.
Remediação recomendada
Acesse a seção Administração do espaço de trabalho do site, selecione Preferências e garanta que a caixa de seleção para permitir que usuários convidados acessem a API pública esteja desmarcada.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a restrição do acesso à API pública como um padrão arquitetônico obrigatório, garantindo que os dados sejam expostos apenas por meio de componentes da interface do usuário controlada, em vez de interfaces programáticas (API) abertas e não monitoradas.
