您位於此處:
來賓使用者存取權:來賓存取 API 的網站偏好設定
此安全性偏好設定會作為主要門來決定未經驗證的訪客是否可以與 Experience Cloud 網站的基礎 Salesforce Connect 和公用 REST 端點互動。
控制名稱
來賓使用者存取權:來賓存取 API 的網站偏好設定
建議組態
將「數位體驗>所有網站>工作區>管理|偏好設定>允許來賓使用者存取公用 API」設定為取消選取/停用。
控制概觀
此安全性偏好設定會作為主要門來決定未經驗證的訪客是否可以與 Experience Cloud 網站的基礎 Salesforce Connect 和公用 REST 端點互動。
未設定安全性風險
啟用此存取權時,其會提供開放式程式設計 (API) 管道,讓匿名執行動作的使用者可查詢網站中繼資料,並嘗試提取未經安全物件層級權限而意外地公開的記錄資料。
威脅情況
攻擊者使用自動指令檔來觸發公用 API 端點,探索自訂物件的內部結構,並系統下載未受到私人共用模式嚴格保護的所有記錄。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
允許匿名 API 存取會大幅增加大量資料取用和智慧財產竊取的可能性,這可能會導致嚴重的監管懲罰並失去競爭優勢。
風險愈高時機
如果已授與來賓使用者設定檔對包含敏感商業邏輯之物件的讀取存取權,或網站使用尚未針對未經驗證使用強化的自訂 Apex 控制項。
低度風險時機
此網站是純靜態的,不使用任何標準或自訂物件來儲存敏感或專利資訊。
業務與整合考量事項
停用此偏好設定可能會防止某些外部搜尋引擎或第三方 Web 元件正確編製索引並顯示依賴即時 API 查詢的公用網站內容。
建議的補救措施
前往網站工作區的「管理」區段,選取「偏好設定」,並確保取消選取允許來賓使用者存取公用 API 的核取方塊。
安全性健康檢閱指南
Security Health Review 將公用 API 存取權的限制識別為必要的結構標準,確保只會透過受控制的使用者介面元件來公開資料,而非透過開放式和未監視的程式設計 (API) 介面來公開資料。
