|
23.07.2009, 16:27 | #1 |
Участник
|
Попробовал поддерживаемым способом, с Вашего блога( http://mmcrm.ru/?p=291 ).
Пытаюсь скрыть поле "Согласование" new_coordination для объекта Возможная сделка. После опубликования. Скрипт почему то не срабатывает под другими пользователями. Вот код. Код: //Если у пользователя есть роль Системный администратор, то скрываем поле Основной телефон вместе с отображаемой подписью if(UserHasRole("Системный администратор")) { crmForm.all.new_coordination.parentElement.parentElement.style.display='none'; } //Проверяем, есть ли у пользователя запрашиваемая роль function UserHasRole(roleName) { //get Current User Roles, oXml is an object var oXml = GetCurrentUserRoles(); if(oXml != null) { //select the node text var roles = oXml.selectNodes("//BusinessEntity/q1:name"); if(roles != null) { for( i = 0; i < roles.length; i++) { if(roles[i].text == roleName) { //return true if user has this role return true; } } } } //otherwise return false return false; } //Выцепляем все роли пользователя function GetCurrentUserRoles() { var xml = "" + "<!--l version=\"1.0\" encoding=\"utf-8\-->" + "" + GenerateAuthenticationHeader() + " " + " " + " " + " role" + " " + " " + " name" + " " + " " + " false" + " " + " " + " roleid" + " role" + " systemuserroles" + " roleid" + " Inner" + " " + " " + " systemuserid" + " systemuserroles" + " systemuser" + " systemuserid" + " Inner" + " " + " And" + " " + " " + " systemuserid" + " EqualUserId" + " " + " " + " " + " " + " " + " " + " " + " " + " " + " " + "" + ""; var xmlHttpRequest = new ActiveXObject("Msxml2.XMLHTTP"); xmlHttpRequest.Open("POST", "/mscrmservices/2007/CrmService.asmx", false); xmlHttpRequest.setRequestHeader("SOAPAction"," http://schemas.microsoft.com/crm/2007/WebServices/RetrieveMultiple"); xmlHttpRequest.setRequestHeader("Content-Type", "text/xml; charset=utf-8"); xmlHttpRequest.setRequestHeader("Content-Length", xml.length); xmlHttpRequest.send(xml); var resultXml = xmlHttpRequest.responseXML; return(resultXml); } |
|
23.07.2009, 16:31 | #2 |
Чайный пьяница
|
Цитата:
Сообщение от echo_igor
Попробовал поддерживаемым способом, с Вашего блога( http://mmcrm.ru/?p=291 ).
Пытаюсь скрыть поле "Согласование" new_coordination для объекта Возможная сделка. После опубликования. Скрипт почему то не срабатывает под другими пользователями. Вот код. Код: //Если у пользователя есть роль Системный администратор, то скрываем поле Основной телефон вместе с отображаемой подписью if(UserHasRole("Системный администратор")) { crmForm.all.new_coordination.parentElement.parentElement.style.display='none'; } //Проверяем, есть ли у пользователя запрашиваемая роль function UserHasRole(roleName) { //get Current User Roles, oXml is an object var oXml = GetCurrentUserRoles(); if(oXml != null) { //select the node text var roles = oXml.selectNodes("//BusinessEntity/q1:name"); if(roles != null) { for( i = 0; i < roles.length; i++) { if(roles[i].text == roleName) { //return true if user has this role return true; } } } } //otherwise return false return false; } //Выцепляем все роли пользователя function GetCurrentUserRoles() { var xml = "" + "<!--l version=\"1.0\" encoding=\"utf-8\-->" + "" + GenerateAuthenticationHeader() + " " + " " + " " + " role" + " " + " " + " name" + " " + " " + " false" + " " + " " + " roleid" + " role" + " systemuserroles" + " roleid" + " Inner" + " " + " " + " systemuserid" + " systemuserroles" + " systemuser" + " systemuserid" + " Inner" + " " + " And" + " " + " " + " systemuserid" + " EqualUserId" + " " + " " + " " + " " + " " + " " + " " + " " + " " + " " + "" + ""; var xmlHttpRequest = new ActiveXObject("Msxml2.XMLHTTP"); xmlHttpRequest.Open("POST", "/mscrmservices/2007/CrmService.asmx", false); xmlHttpRequest.setRequestHeader("SOAPAction"," http://schemas.microsoft.com/crm/2007/WebServices/RetrieveMultiple"); xmlHttpRequest.setRequestHeader("Content-Type", "text/xml; charset=utf-8"); xmlHttpRequest.setRequestHeader("Content-Length", xml.length); xmlHttpRequest.send(xml); var resultXml = xmlHttpRequest.responseXML; return(resultXml); } if(UserHasRole("Системный администратор"))
__________________
Эмо разработчик, сначала пишу код, потом плачу над его несовершенством. Подписывайтесь на мой блог, twitter и YouTube канал. Пользуйтесь моим Ultimate Workflow Toolkit |
|
|
За это сообщение автора поблагодарили: echo_igor (1). |
24.07.2009, 14:29 | #3 |
Участник
|
a33ik , Спасибо огромное. Очень помогла ссылка http://jianwang.blogspot.com/2008/01...-security.html .
Ну в ходе поиска проблемы нашёл ещё одну статью, тоже довольно помогла http://www.crowehorwath.com/cs/blogs...rity-role.aspx . Всем спасибо! |
|
24.07.2009, 15:09 | #4 |
Участник
|
Кстати, по последней ссылке можно прочитать очень правильный комментарий от некоего Ronny VDS:
Hiding fields with jscript is not secure. This way a user can still see the fields by simply printing the form. You can also use IE Developer to change css styles so to simply show the tab or field again in the page. (or other tools like IE7Pro...) It is nice to hide some unnecessary fields for the current user but do not use this when it's top secret information. (Use a custom entity in a iframe instead) Это относится не только к скрытию полей, но и к блокированию тоже. Т.е. в данном случае обычный пользователь вообщем-то может в форме открыть адресную строку и набрать: Код: javascript:alert(crmForm.all.<поле с заветной галочкой>.Disabled = false); |
|