5 января 2017 в 14:19
Всем привет! Есть такой очень популярный модуль Views и там есть настройка *Ограничения доступа*, где можно выбрать "Нет, Право доступа и Роль." В чем вопрос ?
Некоторые представления автоматически стоят с ограничением доступа - *Нет*, лучше все таки выбрать права доступа, или можно оставить как есть нет и не будет ли это противоречить правилам безопасности, то есть не будет ли легче взломать такое представление ?
Комментарии
Что вы подразумеваете под взломом представления?
Взлом тут ни при чём. Однако грамотное использование этой настройки даёт прикольные опции. Допустим, есть какой-то тип ноды, у которой всего одно текстовое поле и все они очень маленькие, мы не хотим, чтобы юзер видел их отдельно, но хотим вывести их списком. В таком случае просто запрещаем юзеру смотреть такие ноды, а во вьюсе снимаем контроль доступа, тогда юзер увидит их контент.
Но тут конечно надо смотреть, чтобы не показать лишнего.
По умолчанию при создании вьюшки как раз выбрана опция https://s3.amazonaws.com/scrstorage/t1288x3919475mshi7.jpg
Есть такой модуль Security Review и он как рас и показал, что такая настройка небезопасна, прикрепляю скрин
Это не дефолтная настройка значит была выбрана
Как рас с дефолтами я и не создавала
Расти база большая и маленькая.
Читать и представлять, о том, какие ассоциация приходят человеку не знакомого с друпал и viewс, это блаженство:-)
П.С. Ну до базы сайта точно не доберутся.
Вопрос был в том, если нету Ограничения доступа, не удастся ли злоумышленнику самовольно редактировать представление?
нет
О, вы меня очень успокоили! СПАСИБО!!!!!!
Нет не смогут
Если есть ограничения к доступу, смогут ли самовольно редактировать представление, генерирующее тип материала?
Сервер потом Клиент, Сервер Клиент.
Данная настройка регулирует только отображение представления.
Смотрите на то что выводите. Если нужно ограничить доступ - ограничивайте.
Спасибо! Это была полезная информация!