Protected und Trusted Code

Sicherheitsannahmen werden an den folgenden Stellen getroffen:

  • browser-Komponenten wie views und resource, die in ZCML deklariert und mit einer Berechtigung versehen werden.

  • Page Templates und andere Ressourcen, die durch das Skins-Tool verwaltet werden, werden explizit bestimmten Rollen zugewiesen. So wird z.B. prefs_install_products_form.pt in der assoziierten Datei prefs_install_products_form.pt.metadata explizit auf die Manager-Rolle eingeschränkt:

    [security]
    View = 0:Manager
    
  • Attribute und Methoden von persistenten Objekten wie Artikeltypen und Tools können auf zweierlei Art geschützt werden:

    • durch ZCML-Berechtigungen mit class- oder require-Anweisungen
    • durch Python-Code, der ein AccessControl.ClassSecurityInfo--Objekt verwendet.

Zusätzlich kann die Variable __allow_access_to_unprotected_subjects__ einer Klasse hinzugefügt werden um zu bestimmen, wie sich Attribute, die ihrerseits nicht durch Security-Annahmen geschützt sind, verhalten sollen.