Loading

Utilisation de la liste d'autorisations CORS pour les applications Lightning

Date de publication: Jan 24, 2022
Description

Chez Salesforce, nous comprenons que la sécurité et la protection de vos données sont essentielles pour votre entreprise. Pour mieux protéger vos données, Salesforce met la mise à jour de version Appliquer automatiquement la liste d'autorisations CORS pour les applications Lightning à votre disposition afin de renforcer la sécurité de votre organisation. Cette mise à jour applique automatiquement la liste d'autorisations CORS afin d'empêcher les requêtes CORS aux applications Lightning, sauf si elles proviennent d'une URL approuvée. L'objectif de cette mise à jour est d'augmenter la sécurité des requêtes CORS en autorisant les navigateurs Web à demander des ressources à votre organisation tout en vous permettant de contrôler les requêtes autorisées.

Cette mise à jour est automatiquement appliquée avec la publication de Spring ‘22 si la capacité de votre organisation à référencer des actifs Salesforce depuis un autre domaine peut être affectée lorsque le domaine n'a pas été ajouté à la liste d'autorisations CORS (partage des ressources d'origines croisées).

Nous présentons des informations supplémentaires sur la mise à jour et comment vous préparer aujourd'hui afin d'anticiper tout impact avant la publication de la version Spring ’22.

Résolution

Présentation de la mise à jour
Avec la version Winter ’22, Salesforce met la mise à jour de version Appliquer automatiquement la liste d'autorisations OAuth pour les applications Lightning à votre disposition afin de renforcer la sécurité des clients. Cette mise à jour applique automatiquement la liste d'autorisations CORS afin d'empêcher les requêtes CORS aux applications Lightning, sauf si elles proviennent d'une URL approuvée. Elle augmente la sécurité des requêtes CORS en autorisant les navigateurs Web à demander des ressources à votre organisation tout en vous permettant de contrôler les requêtes autorisées.

Salesforce applique automatiquement cette mise à jour, car nous prenons la sécurité des organisations de nos clients très au sérieux. La mise à jour de version
Appliquer automatiquement la liste d'autorisations OAuth pour les applications Lightning change le modèle d'accès aux applications Lightning qui autorisent les navigateurs Web à soumettre des requêtes depuis leur organisation, en s'assurant que les informations sont partagées uniquement avec des sources explicitement autorisées. Cette modification protège contre le risque d'attaques par script inter-site (XSS) en faisant confiance aux ressources servies à partir de domaines qui ne sont pas des domaines de confiance de l'organisation.

Date de l'application automatique
Cette mise à jour est automatiquement appliquée avec la publication de la version Spring ’22. Pour connaître la date de mise à niveau de la version majeure de votre instance, accédez à Trust État, recherchez votre instance, puis cliquez sur l'onglet Maintenance.

Identification de l'impact
Cette modification s'applique à Lightning Out et aux autres applications Lightning dans Lightning Experience, et à toutes les versions de l'application Salesforce.

Une fois la modification automatiquement appliquée avec la publication de la version Spring ‘22, les clients affectés peuvent remarquer des images incomplètes, des scripts rompus ou d'autres altérations du fonctionnement si les domaines n'ont pas été ajoutés à la liste d'autorisations CORS.

Pour déterminer l'impact, procédez comme suit :

  • Connectez-vous à votre organisation. Accédez à l'application Event Log File Browser, puis cliquez sur Production Login.
  • Définissez Start Date sur la date du jour.
  • Sélectionnez le type d'événement CorsViolation pour votre recherche.
  • Définissez Interval Value sur « Daily ».
  • Cliquez sur Apply.
  • Si le résultat est 0, votre organisation n'est pas affectée par cette mise à jour de version.
  • Si le résultat est différent de 0, votre organisation est affectée par la mise à jour. Pour renvoyer les domaines affectés par la mise à jour, sélectionnez CORS Violation Record, puis cliquez sur Apply. Les domaines impactés par la mise à jour sont renvoyés.
Atténuation de l'impact
Pour éviter toute interruption lors de l'application automatique, testez la mise à jour de version avant la publication de la version Spring ’22 en procédant comme suit :
Saisissez Mises à jour de version dans la case Recherche rapide, dans Configuration. Recherchez la mise à jour de version que vous souhaitez tester, puis cliquez sur Afficher les détails ou Commencer. Exécutez les étapes suivantes :
  • Identifiez les domaines affectés par cette mise à jour de version en suivant les étapes d'identification présentées plus haut.
    • Examinez les domaines affectés afin de déterminer les raisons pour lesquelles ils utilisent activement des actifs Salesforce.
    • Si vous faites confiance aux domaines et souhaitez autoriser l'utilisation d'actifs dans ces domaines, ajoutez-les à la liste d'autorisations CORS. Pour des instructions spécifiques, suivez les étapes présentées dans Developer Guide.
    • Après avoir ajouté un domaine à votre liste d'autorisations CORS, testez-le avec la Mise à jour de version activée pour vous assurer que le site fonctionne normalement.
    • Répétez cette procédure pour tous les domaines affectés.
Obtention d'une aide
Pour plus d'informations sur la modification, consultez les ressources suivantes :
Si vous avez des questions sur la modification, utilisez les canaux suivants pour recevoir une aide de Salesforce :
Numéro d’article de la base de connaissances

000389495

 
Chargement
Salesforce Help | Article