現在、複数のユーザーグループによって異なる使用が行われる一般的なレポートを使用しています。これは、隠されたパラメータ( 'show column x'、 'enable feature y'など)の異なる設定でリンクされたレポートを作成することで可能になりました。 他のレポートでもこれらの設定(パラメータ)が必要なので、Go to ... Action
を使用してこれらの設定を渡します。URLでコマンドを渡すと、パラメータが脆弱になる
外観を作成し、我々は後にしている感じに、我々は、同様な&rc:Parameters=False
(reference)としてHTML Viewer commands
とReport Server commands
をいくつかの追加パラメータを渡しています。
残念ながら、Go to URL
というオプションがあります。これはMicrosoftがGo to Report
に対してこれらのコマンドを実装していないためです。つまり、URLに設定(隠しパラメータ)を渡す必要があります。この結果、セキュリティの問題が発生します(例:&PARAMETER_ENABLE_FEATURE_Y=False
)。
ユーザーはURLにこのパラメータがあることに気付く可能性があり、URLを&PARAMETER_ENABLE_FEATURE_Y=True
に編集してこの機能を有効にする可能性があります。
だから私の質問は:私たちの敏感なパラメータを編集し、HTML Viewer commands
とReport Server commands
を使用できる一方からユーザーを防止しながらReporting Services
でAction
を使用する方法?
GETではなくPOSTを使用してレポートを呼び出すことができます。 POSTはURLの代わりにPOSTの本体にパラメータを置きます(これはGETの機能です)。これはおそらくjavascriptを使って行うことができます。しかし、ユーザーはF12ツールを使用してポストパラメータを見ることができますが、何らかの理由で悪化します... SSRSは投稿をGETに変えてURLに表示します。 –