- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
05-19-2022 03:21 PM
こんにちは。
[system ui] > [images]に保存したファイルに、インスタンスにログインしていなくてもアクセスできることに気が付きました。Docsを調べてみたところ、以下の記述がありました。
Storing images in the database
注:db_imageテーブルは、セキュリティ制限のないパブリックテーブルです。認証されていないユーザーは、db_imageテーブルにアップロードされたイメージに完全にアクセスできます。
セキュリティの観点から、同様のパブリックテーブルがこのテーブルの他にどのようなものがあるかを知りたいのですが、テーブルの一覧か調査方法をご存知でしたら、教えていただきたいです。
よろしくお願いします。
Solved! Go to Solution.
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
05-19-2022 10:11 PM
db_image テーブルにある画像参照だけは特別な参照ではないかと思います。
ロールの無いユーザーで、db_image テーブルのListViewを表示するとACLにより表示されません。
一般公開設定となっているページの設定はPublic Page[sys_public] で設定してあります。
UI ページをパブリックまたはプライベートにする (servicenow.com)
なお、ServicePortalのように複数の構成部品で構築されているものはいくつか設定があります。
パブリックユーザー向けにポータルをセットアップする方法は?- カスタマーサービス管理 - ブログ - ServiceNowコミュニティ
テーブルを外部ユーザーに公開する設定はACL の Role "snc_external" にあります。
外部ユーザーにテーブルへのアクセス権を付与する (servicenow.com)
添付ファイルの画像とは違い、db_image テーブルにある画像はURLに service-now.com/FileName.png だけでアクセスできるのも、db_image の画像に限り特別な経路で表示しているのだと推測しています。
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
05-19-2022 10:11 PM
db_image テーブルにある画像参照だけは特別な参照ではないかと思います。
ロールの無いユーザーで、db_image テーブルのListViewを表示するとACLにより表示されません。
一般公開設定となっているページの設定はPublic Page[sys_public] で設定してあります。
UI ページをパブリックまたはプライベートにする (servicenow.com)
なお、ServicePortalのように複数の構成部品で構築されているものはいくつか設定があります。
パブリックユーザー向けにポータルをセットアップする方法は?- カスタマーサービス管理 - ブログ - ServiceNowコミュニティ
テーブルを外部ユーザーに公開する設定はACL の Role "snc_external" にあります。
外部ユーザーにテーブルへのアクセス権を付与する (servicenow.com)
添付ファイルの画像とは違い、db_image テーブルにある画像はURLに service-now.com/FileName.png だけでアクセスできるのも、db_image の画像に限り特別な経路で表示しているのだと推測しています。
- Mark as New
- Bookmark
- Subscribe
- Mute
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
05-19-2022 11:53 PM
iwaiさん
確かにListViewにアクセスできないのに画像は表示できるという点は私も不思議に思っていました。Docsに注意書きされていることからも、特殊な位置づけのテーブルなのかもしれないですね。
どうもありがとうございました。
