Múltiples sitios web y realizan solicitudes “cross-site” ilegales

StackOverflow https://stackoverflow.com/questions/1487864

  •  18-09-2019
  •  | 
  •  

Pregunta

Tengo dos sitios de IIS que apuntan a las carpetas físicas diffent. Esto es para ser capaz de diferenciar el web.config y los archivos y conjuntos utilizados para los sitios La base de datos se establece en el punto a la misma instancia para ambos sitios En web.config se configuran a partir de diferentes partes El hotel permanece como esto:

  • / Sitecore / contenido / home / default

  • / Sitecore / contenido / home / intranet

Hasta aquí todo bien.

Ahora, el problema es que soy capaz de recuperar el contenido que no pertenece al sitio real introduciendo su ruta completa. Es decir.

http://www.default.com/sitecore/content/home/intranet.aspx <-. Esto no se debe permitir, ya que www.default.com está configurado con /sitecore/content/home/default como root

¿Hay algún mecanismo incorporado a este dissallow o tengo a subclase el itemresolver hacer "sitios cruzados" -Solicitudes ilegal.

¿Fue útil?

Solución

Esto es algo que ver con la forma en Sitecore resuelve artículos, he encontrado 3 URL diferente del de cada elemento. Por ejemplo decir que tengo la siguiente estructura: 

-sitecore
  -content
    -home
      -page1

Puedo tener acceso a la Página 1 ya sea a través:

  • http://mysite/sitecore/content/home/page1.aspx
  • http://mysite/page1.aspx
  • http://mysite/home/page1.aspx

Sin embargo sabiendo esto no ayudará a resolver su problema. La mejor solución que puedo sugerir es utilizar la seguridad. Sin embargo, si ambos sitio necesita el acceso anónimo, la pregunta es ¿cómo controlar esto?

Me imagino que ya que tienes dos web.config separada del también hay que separar las secciones de configuración de Sitecore. Entonces, ¿qué podemos hacer es crear un proceso de canalización que se ejecuta como parte de la petición http comenzar la tubería (en el web.config como oleoductos / configuración / Sitecore / / httpRequestBegin) crear una para cada sitio y actualizar el web.config correspondiente. Cuando este proceso se llama podría crear un usuario virtual que pertenece a un grupo que restringe el acceso al sitio el usuario solicitó.

Hay un cierto código aquí que muestra cómo crear un usuario virtual:

aquí en tuberías:

Espero que esto ayude: -)

Otros consejos

Bueno, si el elemento de intranet (y abajo) se protege con seguridad Sitecore no debería ser un problema ni posible acceder a:)

Si usted no puede manejar con seguridad, entonces yo iría con el ItemResolver.

Saludos

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top