我们正在为客户门户网站使用Sharepoint Implementation。我们为每个客户提供一个他们可以访问报告的站点。我们使用相同的报告库,每个报告都带有一个参数,该参数是客户端的唯一标识符。我们遇到的问题是,只要您可以对系统进行身份验证,您就可以在包含该报告的页面上查看源代码,并通过一些谷歌搜索,您可以弄清楚如何将查询字符串放在一起来提取报告。通过选择随机ID号,您可以提取其他客户报告。
赔率是客户不会这样做,但总有机会,我们正在寻找关闭这个漏洞。
其他人遇到这个?我们有一些可能的解决方案,但希望可能有一些我们缺少的更简单的东西。
答案 0 :(得分:1)
在SSRS中,您可以访问用户ID:如果您创建了一个设置为此值的内部参数(= User.UserID),您的查询可以检查该用户是否有权查看请求的数据。 (即创建一个包含允许用户访问并加入的UniqueID的表。)
将此与唯一ID参数相结合,您应该受到保护。
答案 1 :(得分:0)
如果为每个报告设置了项目级别权限,则不应该出现此问题。