Security Drupal:分类学和;安全
我在Drupal平台上有一个内部网。我正在使用权限限制对某些节点类型的访问,这些节点类型中包含敏感信息。这一切都很顺利 然而,其中一些敏感节点使用分类法作为分类方法。问题是,我发现了某些路径,显然是由分类模块本身创建的,它们显示了这些敏感节点的摘要,甚至对未经验证的用户也是如此 例如: mysite.com/category/traintype/site 显示培训类型在现场的公司培训预约。设置这些节点时,具有特定角色的用户不应访问这些节点,当然,未经身份验证的用户也不应访问这些节点Security Drupal:分类学和;安全,security,drupal,Security,Drupal,我在Drupal平台上有一个内部网。我正在使用权限限制对某些节点类型的访问,这些节点类型中包含敏感信息。这一切都很顺利 然而,其中一些敏感节点使用分类法作为分类方法。问题是,我发现了某些路径,显然是由分类模块本身创建的,它们显示了这些敏感节点的摘要,甚至对未经验证的用户也是如此 例如: mysite.com/category/traintype/site 显示培训类型在现场的公司培训预约。设置这些节点时,具有特定角色的用户不应访问这些节点,当然,未经身份验证的用户也不应访问这些节点 我查看了网站
我查看了网站上的视图,没有看到任何分类视图。那么,如何使这些路径不可访问?您可以在自定义模块中使用或覆盖分类模块创建的默认菜单项。在这里,您可以添加自己的额外权限检查或将其全部删除 另一种方法是更改node.tpl.php,以便在用户没有访问权限时剥离摘要 你这是什么意思?我没有看到任何特定的变量只会产生一个摘要。我相信在输出信息时语法是if($striser)。但是,更好的方法(进一步考虑后)是template.php中的template_预处理。如果所需访问的用户_access()返回false,您可以将$node->trister设置为“”。需要更多信息:Drupal的哪个版本?什么模块用于访问限制?我听起来像是安装了视图模块-再说一遍,哪个版本?同上。Drupal核心本身没有内容类型访问限制,因此这是重要的信息。节点访问是全面的,因此如果这些用户实际上没有访问这些节点的权限,那么不应该显示摘要,因此我猜他们实际上还没有受到访问限制。您希望将重点放在适当的访问控制上,而不仅仅是隐藏内容的显示或链接。