无论在 XML View 上做什么,如果没有定义访问控制/记录规则,任何用户都可以通过简单的 JS 片段获取 Odoo 上的任何信息:
(new window.openerp.web.Model('my.model')).query().all().then(f=>console.log(f))
- 可以采取什么措施来防止这种情况发生?
- 定义访问控制和记录规则是唯一的方法吗?
- 是否有任何机制可以阻止用户访问他无法通过当前操作/ View 访问的任何内容?
最佳答案
实际上访问控制和记录规则是可行的方法。整个安全都是关于他们的。因此,如果您对某些技术或业务模型没有这些规则,同时要求登录用户不能看到它们,那么您自己对这些模型的概念是错误的或没有经过深思熟虑。
您还可以定义非常严格的规则,同时使用管理员权限(sudo)绕过它们。这通常在计算字段中需要,计算字段依赖于“普通”用户不应该看到但计算所需的数据。
关于security - Odoo 安全性,防止登录用户使用 jsonrpc 访问不 protected 表?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59358372/