CORS -sallittujen luettelon käyttäminen Lightning-sovelluksille

Muutoskatsaus
Winter ’22 -julkaisun myötä Salesforce tuo saataville Enforce CORS Allowlist for Lightning Apps-julkaisupäivityksen asiakkaiden turvallisuuden parantamiseksi. Tämä päivitys pakottaa käyttämään CORS-sallittujen luetteloa estämään Lightning-sovellusten CORS-pyynnöt, ellei pyyntö tule hyväksytystä URL-osoitteesta. Tämä lisää CORS-pyyntöjen turvallisuutta, jolloin verkkoselaimet voivat pyytää resursseja organisaatiolta ja antaa paremman hallinnan sallituista pyynnöistä.

Salesforce pakottaa tämän muutoksen käyttöön, koska otamme asiakkaidemme organisaatioiden turvallisuuden vakavasti.
Enforce CORS Allowlist for Lightning Apps-julkaisupäivitys muuttaa Lightning-sovellusten käyttömallia, jonka avulla selaimet voivat tehdä pyyntöjä organisaatioiltaan varmistamalla, että tiedot jaetaan vain nimenomaisesti valtuutettujen lähteiden kanssa. Tämä estää XSS:n mahdollisuuden luottamalla siihen, että resursseja tarjotaan verkkotunnuksilta, joihin organisaatio ei luota.

Käyttöönoton aikataulu
Päivitys otetaan käyttöön Spring ’22 -julkaisun yhteydessä. Instanssin merkittävän päivityksen päivämäärän saa siirtymällä Trust Status -sivustolta, etsimällä instanssin ja napsauttamalla ylläpito-välilehteä.

Vaikutuksen määrittäminen
Tämä muutos koskee Lightning Outia ja muita Lightning Experiencen Lightning -sovelluksia ja kaikkia Salesforce -sovelluksen versioita.

Kun muutos pannaan täytäntöön Spring '22 julkaisussa, niillä asiakkailla, joita asia koskee, voi olla rikkoutuneita kuvia, rikkoutuneita komentosarjoja tai muita toimintojen muutoksia, jos pyytäviä verkkotunnuksia ei lisätä CORS-sallittujen luetteloon.

Asiakkaiden tulee suorittaa seuraavat toimenpiteet vaikutuksen määrittämiseksi:

• Kirjaudu organisaatioosi. SiirryTapahtumien lokitiedoston selaus-sovellukseen ja napsauta Tuotantoon kirjautuminen.
• Aseta aloituspäiväksitämän päivän päivämäärä.
• Valitse haulle CorsViolation-tapahtumatyyppi.
• Valitse aikaväliarvoksi ”Päivittäin”.
• Napsauta Käytä.
• Jos tuloksen määrä on 0, tämä päivitys ei vaikuta organisaatioosi.
• Jos tuloksena oleva luku ei ole 0, päivitysvaikuttaa organisaatioosi. Jos haluat palauttaa toimialueet, joihin päivitys vaikuttaa, valitse CORS-rikkomustietue ja napsauta Käytä. Tämä palauttaa toimialueet, joihin päivitys vaikuttaa.

• Tunnista toimialueet, joihin tämä julkaisupäivitys vaikuttaa noudattamalla aiemmin kuvattuja tunnistusvaiheita.
  • Tutki asianomaisia toimialueita arvioidaksesi niiden tarkoitusta käyttää Salesforce-resursseja aktiivisesti.
  • Jos luotat toimialueeseen ja haluat antaa resurssien toimia kyseisillä toimialueilla, lisää verkkotunnukset CORS -sallittujen luetteloon. Tarkat ohjeet saa noudattamalla tässä kehittäjäoppaassa kuvattuja ohjeita.
  • Kun olet lisännyt toimialueen CORS -sallittujen luetteloon, testaa toimialue uudelleen julkaisupäivityksen ollessa käytössä varmistaaksesi, että sivusto toimii odotetulla tavalla.
  • Toista toimenpide kaikille toimialueille, joihin päivitys vaikuttaa.

• Julkaisuhuomautukset: CORS -sallittujen luettelon pakottaminen Lightning-sovelluksille
• Salesforce-ohje: CORS-luettelon käyttö Salesforce-resurssien käyttämiseen verkkoselaimilta
• Lightning Web Components -kehittäjäopas: Komponenttien käyttäminen Salesforcen ulkopuolella Lightning Outin avulla (beta)

• ISV-kumppanit voivat esittää kysymyksiä AppExchange & ISV Technical Enablement -yhteistyöryhmälle.
• Konsultointikumppanit voivat esittää kykymyksiä Consulting Partner Questions & Answers -yhteistyöryhmälle.
• Järjestelmänvalvojat ja kehittäjät voivat esittää kysymyksiä Salesforce Platform Trailblazer Communityssä tai Developer Trailblazer Groupille.
• Asiakkaat voivat lisäksi aukaista asiasta tapauksen Salesforce -tukeen milloin tahansa.