Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
информация о юзере из сесии?Собственно вопрос по теме.
На случай, если злоумышленник, "подложит" свой документ со своими параметрами и запустит агент, хочется знать, кто запустил.Да, как бы так, но раз документ с параметрами создается, то что мешает в этот документ как раз и прописать пользователя? =)
если в кнопке зашит код определяющий юзера, то передать его агенту я не вижу проблем, даже если noteid передается юзером, ведь noteid - это просто строка , вот и запихните туда имя юзера в кнопке (вместе с реальным noteid)Есть документ, к которому у пользователя нет прав доступа на редактирование.
Пользователь нажимает кнопку, выполняется серверный агент (runOnServer) подписанный администратором под правами администратора.
На вход агента надо подавать noteId документа с некоторыми параметрами.
Пока придумал, что тот, кто последний сохранил док с параметрами и есть тот кто запустил серверный агент.
Я когда-то пытался так делать на 8.5.3 и натолкнулся на искусственное ограничение на количество символов. Не помню, то ли 10, то ли 12, ну может чуть больше. Оно само обрезало строку; в моём случае не подошло.ведь noteid - это просто строка , вот и запихните туда имя юзера в кнопке (вместе с реальным noteid)
ну тогда, из неперечисленных, остается xpage (или сервлет) из кнопки Вызов xpageЯ когда-то пытался так делать на 8.5.3 и натолкнулся на искусственное ограничение на количество символов. Не помню, то ли 10, то ли 12, ну может чуть больше. Оно само обрезало строку; в моём случае не подошло.
P.S. Хотел запостить мега-тему по доработке агентов и новому API для них на новый сайт с идеями, но руки не дошли.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!