Loading

重要: Salesforce へのリクエストは適切な UTF-8 のみ有効です

公開日: Jan 22, 2025
説明
User-added image
製品およびサービスに関するお知らせ

Salesforce 組織の管理者の皆様に、予定されている製品の動作改善に伴う注意点についてお知らせいたします。

Salesforce への HTTP リクエスト(URL、フォームのデータ等)に、インターネットの標準に準拠しない、「UTF-8 を適切に % エンコードした文字」以外の文字が含まれていた場合の動作について変更が行われます。

※ この説明上での HTTP リクエストは HTTPS を含みます

変更の概要:

Salesforce への HTTP リクエスト(URL、フォームのデータ等)に、不適切な文字が含まれていた際の処理を見直し、適切な UTF-8 のみ処理するように改善します。これにより、セキュリティリスクとなりえる「UTF-8 を適切に % エンコードした文字」以外の文字が含まれるリクエストは無効と判定されます(例: Illegal Request のエラーが返る)。無効と判定されるリクエストには以下のようなものがあります。

  • %uXXXX 形式でエンコード(JavaScript の標準関数である escape() を利用した場合等)された文字を含む HTTP リクエスト
  • リクエストに含まれる % エンコードの文字をデコードした結果、UTF-8 ではない文字を含む HTTP リクエスト
  • リクエストをデコードする前の状態で、エンコードされていない ASCII 以外の文字が含まれている HTTP リクエスト(正しく % エンコードされた文字は、ASCII 文字のみで構成されます)

 

User-added image
変更の理由:

Salesforce は UTF-8 を使用していますので、例えば URL パラメータ で Visualforce ページや、Lightning Experience 上でのレポートに文字を渡す場合には、 % エンコードした UTF-8 を利用しています。

これまでは、Salesforce への HTTP リクエストのチェックが不十分だった為に、リクエストに含まれる、「UTF-8 を適切に % エンコードした文字」以外の文字は「 �」または UTF-8 として偶然一致した文字に置き換えられ、その HTTP リクエストがエラーになる事は基本的にありませんでした。しかし、セキュリティ(インジェクション防止等)の観点、およびインターネット標準規格への準拠(RFCへの準拠および、ミドルウェアの独自変換「�」の排除)の観点から、厳密な判定が必要と判断しました。

User-added image
お客様にてご対応頂く作業:

上記の「変更の理由」にあります通り、Salesforce への HTTP リクエストには UTF-8 のみが利用可能ですが、お客様環境において何らかの理由で「�」(Salesforce のミドルウェアによって解釈出来なかった文字の変換結果)が Salesforce に渡されるデータとして期待されている処理や、JavaScript 非標準の escape() 関数で生成された文字が Salesforce に渡されている可能性があります。 該当する設定やプログラムがあった場合は、下記の関連ヘルプおよびKBを参照のうえ、「UTF-8 を適切に % エンコードした文字」を利用する変更が必要となります。

確認が必要なお客様:

お客様の設定や外部プログラムで生成または利用されている Salesforce への HTTP リクエストが、「UTF-8 を適切に % エンコードした文字」のみ利用していると判断される事が難しいお客様

 

確認手段:

お客様環境の実装方法やデータに依存する為、お客様の設定や外部プログラムで生成または利用されている Salesforce への HTTP リクエストで、「変更の概要」にあるような、「UTF-8 を適切に % エンコードした文字」以外の文字が利用されていないかの個別の確認が必要となります。

サンドボックスは既にこの変更が適用されておりますので、サンドボックス上で既存機能の動作に問題が出ていないか確認して頂く事が可能です。

 

主な利用箇所:

Salesforce への HTTP リクエストを生成・利用している設定やプログラム(下記例の箇所も個別に実装の確認が必要です)

  • Salesforce 上の特定ページへ移動するカスタムボタンまたはカスタムリンクで、[内容のソース]が “OnClick JavaScript” となっている

  • Salesforce 上の特定ページへ移動するカスタムボタンまたはカスタムリンクで、[内容のソース]が “URL” となっていて、[リンクのエンコード]が "Unicode (UTF-8)” 以外となっている

  • Lightning Experience 上のレポートパラメータを動的・または静的に指定しているリンク

  • Salesforce 上の特定ページを呼びだす Visualforce または外部プログラム

  • 静的リソースやレコードに保存している Salesforce の特定ページへの URL

確認が不要な箇所:

  • Salesforce 以外へアクセスする為の URL を生成・利用する箇所

     

関連ヘルプおよびKB:

一般情報(Salesforce が提供しているものではありません)

User-added image

適用予定日:

APx インスタンス: 2017年8月31日(日本時間)

※ CSx インスタンスは適用済みです。NAx/EUxインスタンスの多くは適用済みですが、個々のインスタンスについてはお問い合わせください。

User-added image
詳細情報の入手方法:

ご質問やご不明点などございましたら、[ヘルプ & トレーニング] ポータルから Salesforce サポートにお問い合わせください。

なお、以下のご相談については、Salesforce サポートでは承っておりません。お客様組織の管理者、開発者様、および外部プログラムを開発・保守されているシステムインテグレータ様へお問い合わせください。

  • 影響が想定される箇所の探索作業
  • JavaScript に関する質問
  • お客様が利用されいている外部プログラムに関するご相談
  • お客様の実装手段に関するご相談
ナレッジ記事番号

000384856

 
読み込み中
Salesforce Help | Article