Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.
Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).
请问如何控制window action的安全性? 现在只要用户在地址栏输入action记录的id值,就可以看到对应的视图了。 虽然用户可能没有权限创建或修改记录,但是看到某些窗口信息总归不好。 比如Sales/Setting的window action记录的id为283.普通用户在地址栏修改action参数的值为283就能看到所有的设置的值。官方可以指定window action的组,但是仅仅用来控制是否在界面上显示。
window action 属于 框架,必须对 public 开放 read 权限, 否则 所有的弹窗均不能 正常工作。
所以 ir.* 开头的模型,都必须对 public 开放 read 权限; 例如
谢谢jeffery回复。可能odoo本身就是这么设计的,个人觉得这种权限的策略设计太过宽松了。普通用户在地址栏敲个window action的id就可以看到管理员的配置页面及配置的内容,实在是很难让我接受。
@iooop 你也可以将地址栏加密,这样他们就不晓得具体的参数,可以变相的解决这个问题
你好!看起来您对这段对话很感兴趣,但您还没有一个账号。
厌倦了每次访问都刷到同样的帖子?您注册账号后,您每次返回时都能精准定位到您上次浏览的位置,并可选择接收新回复通知(通过邮件或推送通知)。您还能收藏书签、为帖子顶,向社区成员表达您的欣赏。
有了你的建议,这篇帖子会更精彩哦 💗
