我的组织有一个由wordpress提供支持的网站。我们正在使用pagebuilder来设计页面。我们还有一些资产(pdf文件,ppts)等。目前每个人都可以访问这些文件。
我需要修改它们,以便有一些访问控制。因此,提供访问控制的第一个建议是“注册”每个想要访问文件的用户。根据用户类型(普通,人力资源,财务等),他们每个人都可以访问一组特定的文件。
有人可以建议如何做到这一点。
答案 0 :(得分:0)
作为一个起点,你总能看到OWASP对此有何看法。以下是他们对直接对象引用的条目:https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References