Loading

Использование списка разрешенных CORS для приложений Lightning

Дата публикации: Jan 24, 2022
Описание

Компания Salesforce понимает, что безопасность и защита данных являются крайне важными для бизнеса. Чтобы защитить данные дополнительно, компания Salesforce планирует предоставить доступ к обновлению выпуска "Применить список разрешенных CORS для приложений Lightning" для повышения безопасности организации. Данное изменение применяет список разрешенных CORS для предотвращения запросов CORS к приложениям Lightning, кроме случаев получения запросов от проверенных URL-адресов. По сути, данное изменение повышает безопасность запросов CORS, позволяя веб-обозревателям запрашивать ресурсы из организации одновременно с предоставлением дополнительного контроля над допустимыми запросами.

Данное обновление будет применено в выпуске Spring'22, когда отказ от добавления доменов в список разрешенных CORS может повлиять на возможность организации ссылаться на активы Salesforce из другого домена.

Дополнительную информацию о данном изменении и рекомендованных действиях необходимо просмотреть до выпуска Spring'22.

Решение

Обзор изменения
В выпуске Winter'22 компания Salesforce планирует предоставить доступ к обновлению выпуска "Применить список разрешенных CORS для приложений Lightning" для повышения безопасности клиентов. Данное обновление применяет список разрешенных CORS для предотвращения запросов CORS к приложениям Lightning, кроме случаев получения запросов от проверенных URL-адресов. Данное изменение повышает безопасность запросов CORS, позволяя веб-обозревателям запрашивать ресурсы из организации одновременно с предоставлением дополнительного контроля над допустимыми запросами.

Компания Salesforce применяет данное изменение ввиду серьезного отношения к вопросу безопасности организаций клиентов. Обновление выпуска
"Применить список разрешенных CORS для приложений Lightning" изменяет модель доступа для приложений Lightning, которые позволяют веб-обозревателям выполнять запросы из организаций, обеспечивая доступность информации только явно авторизованным источникам. Это исключает вероятность межсайтового скриптинга за счет доверия ресурсам, которые обслуживаются из доменов, которым не доверяет организация.

Сроки применения
Обновление будет применено в выпуске Spring'22. Чтобы уточнить дату обновления основного выпуска для используемого экземпляра, откройте веб-узел Trust Status, найдите нужный экземпляр и выберите вкладку обслуживания.

Определение влияния
Данное изменение применяется к Lightning Out и другим приложениям Lightning в Lightning Experience и во всех версиях приложения Salesforce.

После применения данного изменения в выпуске Spring'22 затронутые клиенты, отказавшиеся от добавления запрашивающих доменов в список разрешенных CORS, могут столкнуться с поврежденными изображениями, поврежденными сценариями или другими изменениями функциональных возможностей.

Ниже перечислены действия, которые необходимо выполнить клиентам для определения влияния.

  • Выполните вход в организацию. Найдите приложение Event Log File Browser и щелкните Production Login (Вход в производственную организацию).
  • Задайте полю Start Date (Дата начала) текущую дату.
  • Выберите тип события CorsViolation для поиска.
  • Задайте полю Interval Value (Значение интервала) значение Daily (Ежедневно).
  • Щелкните Apply (Применить).
  • Если полученное количество равно 0, то данное обновление выпуска не влияет на используемую организацию.
  • Если полученное количество не равно 0, то данное обновление влияет на используемую организацию. Чтобы просмотреть домены, на которые влияет данное обновление, выберите CORS Violation Record (Запись о нарушении CORS) и щелкните Apply (Применить). Это вернет домены, на которые влияет данное обновление.
Снижение влияния
Во избежание возможных сбоев, клиентам следует выполнить указанные ниже действия для тестирования данного обновления до внедрения выпуска Spring'22.
Введите строку "Обновления выпуска" в поле "Быстрый поиск" меню "Настройка". Найдите нужное обновление выпуска и щелкните "Просмотреть сведения" или "Начало работы". Выполните указанные ниже действия.
  • Определите домены, на которые влияет данное обновление выпуска, путем выполнения этапов идентификации, указанных ранее.
    • Проанализируйте затронутые домены для оценки целей активного использования активов Salesforce.
    • Чтобы разрешить активам работу в домене, которому доверяете, добавьте нужный домен в список разрешенных CORS. Для получения конкретных инструкций выполните этапы, указанные в данном Руководстве разработчика.
    • После добавления домена в список разрешенных CORS повторите тестирование домена со включенным обновлением выпуска во избежание некорректной работы сайта.
    • Повторите для всех затронутых доменов.
Получение помощи
Дополнительную информацию об изменении см. в ресурсах ниже.
При возникновении дополнительных вопросов воспользуйтесь каналами ниже для получения помощи от Salesforce.
  • Партнеры, являющиеся независимыми поставщиками ПО, могут направлять свои вопросы группе сотрудничества AppExchange & ISV Technical Enablement.
  • Консультирующие партнеры могут направлять свои вопросы группе сотрудничества Consulting Partner Questions & Answers.
  • Администраторы и разработчики могут направлять свои вопросы группе Salesforce Platform или Developer Trailblazer в Trailblazer Community.
  • При необходимости клиенты могут также регистрировать обращения в службу поддержки Salesforce.
Номер статьи базы знаний

000389495

 
Загрузка
Salesforce Help | Article