Loading

Экранирование источника B2C Commerce Demandware.net: этап 3

Дата публикации: Dec 10, 2025
Описание
Компания Salesforce понимает, что конфиденциальность, целостность и доступность данных являются крайне важными для развития бизнеса, поэтому принимает серьезные меры по их защите. С апреля по август 2022 года Commerce Cloud меняет доступ к именам хостов demandware.net путем создания индивидуальных зон сети доставки содержимого и правил брандмауэра, разрешающих использование Business Manager и другого допустимого трафика только из надежных источников Commerce Cloud. Указанное изменение позволяет защитить среды и данные клиентов от вредоносных действий (например, распределенные атаки типа "отказ в обслуживании" или атаки ботов).
Решение
Что изменилось?
В апреле 2022 года Commerce Cloud начинает блокировать трафик, обеспечивающий доступ к написанному через дефис имени хоста demandware.net, которое не происходит от сети доставки содержимого предприятия Commerce Cloud. Данное изменение отклоняет вызовы, использующие написанные через дефис имена хостов production- или development- для получения доступа к OCAPI или Storefront.

В настоящее время трафик через demandware.net не предоставляет средства контроля за сетью доставки содержимого предприятия. Примите соответствующие меры для защиты своих данных. Убедитесь, что внешний трафик проходит через слои безопасности сети доставки содержимого предприятия до получения доступа к используемой среде.

Как данное изменение влияет на мою организацию?
Данное изменение влияет на клиентов Commerce Cloud, которые используют имена хостов production- или development- для получения доступа к OCAPI или Storefront. Измените данные написанные через дефис имена хостов на запоминающееся имя хоста во избежание любых возможных последствий. 

Влияние на реализации, которые используют сеть доставки содержимого предприятия Commerce Cloud или стековую конфигурацию сети доставки содержимого перед сетью доставки содержимого предприятия Commerce Cloud (например, использование запоминающегося имени хоста, такого как brand.com, www.brand.com), отсутствует. Business Manager считается внутренним для экосистемы Commerce Cloud, поэтому влияние на доступ к Business Manager посредством production-realm-customer.demandware.net отсутствует.

Когда предстоит данное изменение?
Внедрение данного изменения будет выполняться поэтапно с апреля по август 2022 года. 
  • 15 апреля: Внедрение данного изменения для всех недавно созданных областей (например, экземпляры производственной среды и среды разработки). Новые клиенты Commerce Cloud и новые области отклоняют все вызовы, выполняемые к именам хостов в написанном через дефис формате для demandware.net.
  • 15 мая: Внедрение данного изменения для всех существующих экземпляров среды разработки. Все экземпляры среды разработки отклоняют вызовы для экземпляров среды разработки, выполняемые к именам хостов в написанном через дефис формате для demandware.net.
  • 15 августа: Внедрение данного изменения для всех существующих экземпляров производственной среды. Все экземпляры производственной среды отклоняют вызовы для экземпляров производственной среды, выполняемые к именам хостов в написанном через дефис формате для demandware.net.

Как подготовиться?
Рекомендуем выполнить указанные ниже действия для подготовки к данному изменению.
  • Проверьте текущие реализации на предмет использования любых вызовов, выполняемых намеренно для OCAPI или Storefront с именами хостов в написанном через дефис формате для demandware.net (например, production-xxx.demandware.net). 
    • Примечание. Business Manager считается внутренним для экосистемы Commerce Cloud, поэтому доступ к Business Manager production-realm-customer.demandware.net может быть сохранен.
  • Обновите затронутые службы или приложения для использования запоминающегося имени хоста (например, brand.com, www.brand.com) и прямого трафика через сеть доставки содержимого предприятия.
  • При отсутствии запоминающегося имени хоста создайте настраиваемый домен для вызовов OCAPI вместо нацеливания на имена хостов production- или development-. 
  • Выполните указанные здесь инструкции для создания настраиваемого домена, который будет использоваться для вызовов OCAPI. (Обратите внимание, что инструкции по настройке встроенной CDN следует соблюдать для экземпляров производственной среды и экземпляров среды разработки.)
  • Исключите трафик без указания имени сервера из любой системы кассовых терминалов, мобильного приложения или сторонней сети доставки содержимого/прокси-сервера. Обратитесь к поставщикам услуг с целью подтверждения возможности использования указания имени сервера для запросов/API к сети доставки содержимого предприятия.
  • После развертывания данного изменения в мае 2022 года выполните тестирование экземпляров среды разработки с целью выявления затронутых служб или приложений, а затем выполните их обновление.

Что необходимо сделать для исключения трафика без указания имени сервера?
Обновите поддерживаемые веб-обозреватели.
  • Современные обозреватели, выпущенные менее 6 лет назад, поддерживают расширение протокола SSL под названием "Указание имени сервера", которое не поддерживается более старыми обозревателями и веб-серверами.
  • К крупнейшим устаревшим обозревателям, которые конфликтуют с указанным выше расширением, относятся Internet Explorer на базе Windows XP (или более ранней версии) и Android (до версии Ice Cream Sandwich).
Проверьте стековые конфигурации Akamai для трафика без указания имени сервера, передаваемого в корневой домен SFCC/Cloudflare.
  • Настройки сервера-источника Akamai предусматривают возможность включения указания имени сервера при создании вышестоящих связей. Большинство пользователей не включают данный параметр. Чтобы обновить стековую настройку Akamai, выполните указанные ниже действия.
    • Откройте менеджер свойств. 
    • Отредактируйте конфигурацию источника и включите расширение TLS "Использовать указание имени сервера". 
    • Дополнительную информацию см. здесь.

Каким конкретным службам по-прежнему разрешен доступ к написанному через дефис имени хоста demandware.net?
  • Business Manager
  • Inventory Service
  • Analytics Service
  • Mainstreet Order Management Service
  • Order Integration Service
  • Вызовы Salesforce Commerce API (SCAPI)
  • Shopper Login (SLAS)
  • Image Downloader Service
  • Вызовы WebDAV
  • Вызовы /dw/monitor для проверки здоровья
  • Инструмент sffc-ci (только экземпляр среды разработки)
  • API данных

Получение помощи
При необходимости направьте свои вопросы группе B2C Commerce в Trailblazer Community. При обнаружении критического влияния на среды зарегистрируйте обращение в службу поддержки Salesforce.
Номер статьи базы знаний

000391803

 
Загрузка
Salesforce Help | Article