Loading

Vanlige spørsmål om Lightning Web Security

Publiseringsdato: Jan 30, 2025
Beskrivelse
Lightning Web Security (LWS) er en ny sikkerhetsarkitektur på klientsiden for Lightning-komponenter. Denne nye arkitekturen defineres av færre restriksjoner og mer funksjonalitet, og gir samtidig sterk Sandbox-funksjonalitet og en sikker posisjon for å håndheve isolering av navneområde. Resultatet er sterk, fleksibel og brukervennlig sikkerhet for Lightning-komponenter. LWS vil erstatte Lightning Locker for Lightning-komponenter.
Løsning

Vanlige spørsmål


Grunnleggende om Lightning Web Security


LWS-aktivering


Finn ut mer


*********************************************************************************************************************************

Grunnleggende om Lightning Web Security


Hva er Lightning Web Security?
Lightning Web Security (LWS) er en ny sikkerhetsarkitektur på klientsiden for Lightning-komponenter. Denne nye arkitekturen defineres av færre restriksjoner og mer funksjonalitet, og gir samtidig sterk Sandbox-funksjonalitet og en sikker posisjon for å håndheve isolering av navneområde. Resultatet er sterk, fleksibel og brukervennlig sikkerhet for Lightning-komponentene.

Lightning Locker har vært standard sikkerhetsarkitektur for alle Lightning-komponenter. Lightning Web Security (LWS) erstatter først Lightning Locker for Lightning-nettkomponenter, og Salesforce legger til støtte for Aura-komponenter over flere utgivelser.

Tilbake til toppen

Hvilke problemer løser Lightning Web Security?
Lightning Web Security hindrer at Lightning-nettkomponenter forstyrrer eller bruker data i komponenter fra andre navneområder uten eksplisitt tillatelse fra navneområdet.

En Lightning-side kan inkludere komponenter opprettet av flere selskaper. Komponenter opprettet av utviklerteamet i en organisasjon eksisterer sammen med komponenter opprettet av Salesforce. Hvis du oppretter og distribuerer apper i pakker på AppExchange, vil komponentene sameksistere med komponenter som allerede er opprettet av Salesforce, og komponentene til kunden som installerer appen.

Hvis det ikke er noen preventive tiltak på plass, kan en komponent åpne vinduet med globale objekter og innhente private ressurser eller data fra andre komponenter på siden. Ett tiltak er å isolere komponenter etter navneområde slik at en ondsinnet komponent ikke får tilgang til ressursene til komponentene utenfor sitt navneområde.

Isolering av navneområde er transparent og virtuelt, noe som gjør det mulig for komponenter å tilsynelatende importere komponenter fra andre navneområder som om de alle kjørte i samme miljø.

Back to Top 

Hvordan fungerer Lightning Web Security?
Lightning Web Security isolerer komponenter i en JavaScript-Sandbox som er avsatt for komponentens navneområde. Denne bruken av Sandbox lar oss vise de globale dokument-, vindu- og elementobjektene direkte, uten å åpne døren for sikkerhetstrusler. LWS endrer kode som kjører i JavaScript-Sandbox for å hindre usikker virkemåte. Se Hvordan Lightning Web Security fungerer for mer informasjon.

Tilbake til toppen

Hvordan er Lightning Web Security forskjellig fra Lightning Locker?
Lightning Web Security er forskjellig fra Lightning Locker på disse måtene:

  • Komponentbruk på tvers av navneområder. Lightning-komponentene kan importere komponenter eller moduler fra andre navneområder og bruke dem via komposisjon eller utvidelse. Komponenter isoleres i sin egen Javascript-Sandbox for sitt navneområde, men det er transparent for deg fordi LWS utfører virtuell kommunikasjon i kulissene.
  • Sikre interaksjoner med globale objekter. Fordi hvert navneområde får sin egen JavaScript-Sandbox, kan vi vise globale dokument-, vindu- og elementobjekter direkte uten å måte bruke innpakning for å sikre komponentene dine. Lightning Web Security endrer virkemåten til de objektene for å hindre at en komponent får tilgang til globale objekter som brukes av komponenter fra et annet navneområde.
  • Tilgang til iframe-innhold og identitet. Lightning-komponentene har tilgang til innhold i iframe-elementer, selv om innholdet er fra et annet opphav. iframe-identiteten opprettholdes også på tvers av Sandbox-grensen, så kontroll av identiteten til postMessage-hendelsesopphav fungerer normalt. Lightning Locker blokkerer tilgang til innhold i iframes.
  • Forbedret ytelse. Utføring av koden i navneområdets JavaScript-Sandbox er raskere enn i Lightning Locker fordi Lightning Web Security ikke bruker sikker innpakning, noe som kan redusere ytelsen.
  • Bedre støtte for tredjeparts JavaScript. Biblioteker kan bruke teknikker som manipulering av globale objekter fordi de kjører i en JavaScript-Sandbox og deres endringer til globale objekter påvirker ikke komponenter i andre navneområder. Lightning Locker har sikre wrapper-versjoner av vinduet, dokumentet og elementobjekter for å hindre tilgang til enkelte API-er for de globale objektene. Wrappers hindrer bruk av enkelte tredjeparts biblioteker som bruker de beskyttede API-ene.
  • Kompatibilitet med standard JavaScript i takt med at det utvikles. Lightning Web Security er modellert etter de siste TC39-standardene som utvikles med nettleserplattformene.


Tilbake til toppen

Er Lightning Web Security sikrere enn Lightning Locker?
Lightning Web Security og Lightning Locker tilbyr i øyeblikket like nivåer av sikkerhet. Den viktigste forskjellen er at Lightning Web Security tillater mer JavaScript-funksjonalitet og raskere utføring av kode.

LWS kan på en sikker måte muliggjøre funksjoner som Lightning Locker forhindrer fordi arkitekturen tillater en mer finmasket tilnærming til blokkering av usikker virkemåte. Eksempel: I stedet for å hindre bruk av et API fullstendig, kan LWS hindre at en komponent fastsetter en egenskap i API-et.

Se Hvordan Lightning Web Security er sammenlignet med Lightning Locker for mer informasjon.

Tilbake til toppen

Hvorfor flytte til LWS hvis Locker er like sikker?
Mens Lightning Web Security integreres i Lightning Experience-plattformen vil det gi samme sikkerhetsbeskyttelse som Lightning Locker for å forenkle overgangen mellom de to arkitekturene. Vi ønsker at dine Lightning-komponenter i første omgang skal kunne kjøre under begge arkitekturene. Arkitekturene er imidlertid fundamentalt forskjellige. 

LWS tar i bruk nye nettstandarder som er i aktiv utvikling, mens Lightning Locker er en unik løsning som Salesforce implementerte på et tidspunkt da adekvate nettstandarder ennå ikke fantes. Tenk på LWS som fremtiden innen Lightning-komponentsikkerhet og Lightning Locker som den eldre implementasjonen av Lightning-komponentsikkerhet. Salesforce deltar i utviklingen av nettstandardene som LWS implementerer. Vårt utviklingsarbeid er nå bak LWS, og Lightning Locker blir vedlikeholdt, ikke forbedret. 

Du kommer litt på forskudd ved å ta i bruk LWS fordi det har en bedre generell ytelse enn Lightning Locker. LWS-arkitekturen bruker virtualiseringskonsepter i Sandbox-organisasjoner i stedet for innpakning rundt hvert eneste usikre API. Denne tilnærmingen reduserer ytelsesreduksjonen som alltid kommer ved sikring av datasikkerhet. Når den første siden er lastet, vil komponenter kjøre raskere under LWS enn de gjør under Lightning Locker.

Når alle komponenter kan kjøre under LWS og du ikke trenger å bytte tilbake til Lightning Locker, kan du forbedre komponentene for å få tilgang til andre fordeler som er beskrevet i Hvordan Lightning Web Security er sammenlignet med Lightning Locker.

Vi har arbeidet i bakgrunnen for å legge til støtte for Aura-komponenter i Lightning Web Security. Gjeldende "bare LWC"-restriksjon for generell tilgjengelighet er et midlertidig punkt i utviklingen av Lightning Web Security. Med Spring ’23-utgivelsen er LWS for Aura tilgjengelig som en betafunksjon og antas å være generelt tilgjengelig i Summer ’23. (trygg havn)

Beslutningen om å flytte organisasjonen og komponentene til LWS er et spørsmål om når flyttingen skal skje, ikke om du skal flytte. Lightning Locker vil til slutt ikke være en levedyktig løsning for Lightning-komponentsikkerhet. Jo raskere du kan flytte til LWS, dess bedre for komponentenes sikkerhet og ytelse.

Tilbake til toppen

Når vil Lightning Web Security bli generelt tilgjengelig?
Lightning Web Security ble generelt tilgjengelig i Spring ’22 for Lightning-nettkomponenter, men ikke for Aura-komponenter. Med Spring ’23-utgivelsen er LWS for Aura tilgjengelig som en betafunksjon og antas å være generelt tilgjengelig i Summer ’23. (trygg havn)

Salesforce planlegger å erstatte Lightning Locker fullt ut med LWS over tid.

Tilbake til toppen

Bør kunder aktivere Lightning Web Security?
Kunder oppfordres til å aktivere LWS, først i et Sandbox-miljø for å teste og så i produksjon. Alle Lightning-komponenter påvirkes av LWS, inkludert komponenter som er installert gjennom pakker. Du finner mer informasjon i Når skal Lightning Web Security aktiveres

Salesforce aktiverer LWS automatisk med en faseinndelt tilnærming. Se avsnittet LWS-aktivering for å finne mer informasjon.

Tilbake til toppen

Hva er pakkeimplikasjonene for ISV-partnere?
Pakkestrategier for ISV-partnere avhenger av flere faktorer, inkludert typen komponenter som brukes i ISV-produktet, og sikkerhetsarkitekturen som er aktivert i kundeorganisasjonen.

Denne tabellen oppsummerer pakkeimplikasjoner for ISV-partnere.

Komponenter i
ISV-pakke		Støttet av
Lightning Locker		Støttet av Lightning Web SecurityPakker som trengsLWS-innstilling i
kundeorganisasjon
Bare Aura-komponenter.JaBeta1Aktivert eller Deaktivert
Aura-komponenter og Lightning-
nettkomponenter som ikke bruker funksjoner bare for LWS*.		JaBeta1Aktivert eller Deaktivert
Ingen Aura-komponenter. Lightning-
nettkomponenter som ikke bruker funksjoner bare for LWS.		JaJa1Aktivert eller Deaktivert
Ingen Aura-komponenter.
Lightning-nettkomponenter bruker funksjoner bare for LWS.		Nei.

Locker krever en separat pakke
med komponenter som ikke bruker bare LWS-funksjoner.		Ja2Aktivert, for pakken som
bruker funksjoner bare for LWS.

Deaktivert, for pakken som
ikke bruker funksjoner bare for LWS.

*Funksjoner bare for LWS inkluderer global objektmanipulering, import eller utvidelse av komponenter og moduler fra andre navneområder og tilgang til innhold i iframe-elementer.

Mer informasjon finnes i bloggen Hva ISV-partnere må vite om Lightning Web Security.

Partneren kan teste produktet i en Sandbox- eller en testorganisasjon på den nyeste utgivelsen med LWS aktivert, for å bekrefte riktig virkemåte. Se Arbeidsflyt for å prøve LWC-er med Lightning Web Security.

Etter å ha bekreftet at produktet fungerer som forventet med Lightning Web Security, kan partnere samarbeide med kundene sine for å finne ut om kundeorganisasjonen kan aktivere Lightning Web Security. Se Når skal Lightning Web Security aktiveres, som angir betingelsene for når det er OK å aktivere LWS i produksjon.

Hvis en partner ikke benytter nye Lightning Web Security-funksjoner, er det ikke nødvendig å opprettholde to versjoner av pakker. En pakke som har fungert med Lightning Locker, vil også fungere med LWS hvis den inneholder bare Lightning-nettkomponenter.

Hvis en partner ønsker å utgi nye pakker for å dra nytte av funksjoner som muliggjøres av LWS, som import av komponenter fra et annet navneområde:

  • Partner informerer kunden om at kundeorganisasjonen må aktivere Lightning Web Security for å bruke de nye pakkene.
  • Kunden konsulterer Når skal Lightning Web Security aktiveres for å få bekreftet at det er støtte for å aktivere LWS i produksjon i deres organisasjon.
  • Kunden aktiverer Lightning Web Security i organisasjonen og tester som beskrevet i Arbeidsflyt for å prøve LWC-er med Lightning Web Security for å sikre at kundens egne komponenter fungerer som forventet.
  • Etter å ha bekreftet at komponenter fungerer som forventet, installerer kunden partnerpakkene og tester produktet i organisasjonen.


Hvis partneren også ønsker å støtte kunder som ikke kan aktivere Lightning Web Security, må partneren levere separate pakker som fungerer med Lightning Locker, til Salesforce har aktivert Lightning Web Security 100 % i alle organisasjoner.

Å støtte kunder på begge arkitekturene krever separate pakker som er spesifikke for Lightning Locker og bare Lightning Web Security når partneren ønsker å bruke funksjoner som Lightning Locker blokkerer.

Tilbake til toppen

Hvordan kan en ISV-partner vite om en kunde er på LWS i dag?
Be kunden sjekke LWS-innstillingen i Oppsett, eller sjekk programmatisk verdien for lockerServiceNext-innstillingen ved bruk av Metadata API. Hvis verdien er true, er LWS aktivert. Se SessionSettings-avsnittet i Metadata API Developer Guide.

For Opplevelsesbygger-nettsteder angis LWS og Locker uavhengig av organisasjonens LWS-innstilling. Be kunden om å sjekke innstillingen for Lightning Locker i Opplevelsesbygger, eller sjekk programmatisk verdien for isLockerServiceEnabled-innstillingen ved bruk av Metadata API. Hvis verdien er true, er LWS aktivert. Se ExperienceBundle-avsnittet i Metadata API Developer Guide.

Tilbake til toppen

Hvordan påvirker LWS Experience Cloud-nettsteder?
Experience Cloud har mange typer nettsteder. Se Experience Cloud-ordliste for å finne beskrivelser av hver type.

Aura -nettsteder kan inkludere LWC-komponenter og Aura-komponenter. I Spring ’23, når LWS-innstillingen aktiveres i organisasjonen, beskytter LWS begge typene komponenter på Aura-nettsteder. Støtten for Aura-komponenter er i beta, som beskrevet i utgivelsesmerknaden Bruk Lightning Web Security for Lightning-nettkomponenter (GA) og Aura-komponenter (Beta). Når LWS ikke er aktivert i organisasjonen, beskytter Lightning Locker komponentene på et Aura-nettsted. Hvis du deaktiverer Lightning Locker i innstillingene for et Aura-nettsted, deaktiverer du sikkerhetsarkitekturen som gjelder i øyeblikket. Hvis LWS er aktivert på organisasjonsnivå, vil deaktivering av Lightning Locker på Aura-nettstedet faktisk deaktivere LWS for Aura-nettstedet.

LWR-nettsteder kjører med Lightning Web Runtime (LWR), som har sin egen forekomst av LWS for å beskytte LWC-komponentene på nettstedene. Fordi det er en separat LWS-forekomst, har organisasjonsinnstillingen for LWS ingen effekt på LWR-nettsteder. Hvis du deaktiverer Lightning Locker på LWR-nettstedet, deaktiveres nettstedets forekomst av LWS, selv om LWS er aktivert i organisasjonen. Navnet “Lightning Locker” brukes fordi det er en ny sikkerhetsarkitektur som ble lagt til LWR før Lightning Web Security-navnet ble valgt. Vi planlegger å oppdatere navnet i Opplevelsesbygger. Se Begrensninger i LWR-maler i Salesforce Hjelp for å finne mer informasjon.

Salesforce-faner + Visualforce-nettsteder beskyttes ikke av LWS eller Lightning Locker. De bruker en annen sikkerhetsarkitektur. LWS-innstillingen i organisasjonen har ingen effekt.

Denne tabellen oppsummerer effekten av innstillingen på Aura- og LWR-nettstedene og i organisasjonen:

Experience Cloud-nettstedsmalLocker-innstilling for nettstedLWS-innstilling for organisasjonLWS- og Locker-tilstand for nettstedet
Aura-nettstedavavav
Aura-nettstedavav
Aura-nettstedavLocker for LWC og Aura
Aura-nettstedLWS for LWC og Aura (beta).
Hvis LWS ble aktivert i Winter '23, brukes Locker for Aura-komponenter i Spring '23.
LWR-nettstedavavav
LWR-nettstedavav
LWR-nettstedavLWS (versjon brukt i LWR selv).
LWR-nettstedLWS (versjon brukt i LWR selv).


Tilbake til toppen

Bruker Field Service LWS?
Field Service bruker Lightning Web Runtime, som har sin egen forekomst av LWS. LWS-innstillingen i organisasjonen påvirker ikke forekomsten som brukes i Field Service. Tilpassede Lightning-nettkomponenter som utviklere oppretter for å utvide Field Service, beskyttes av LWS-forekomsten i LWR. Mesteparten av LWS-dokumentasjonen er relevant for utviklere som arbeider med komponenter for Field Service, unntatt informasjonen om aktivering og deaktivering av LWS i organisasjonen.

Tilbake til toppen
 

LWS-aktivering


Vil Salesforce slå på Lightning Web Security for kunder?
(trygg havn)

Ja, over tid. Lightning Web Security ble generelt tilgjengelig i Spring ’22 for Lightning-nettkomponenter, men ikke for Aura-komponenter. I løpet av Spring ’22-utgivelsen aktiverte Salesforce gradvis Lightning Web Security for Lightning-nettkomponenter for tusenvis av kunder med organisasjoner som inneholdt bare Lightning-nettkomponenter (LWC-er).

Per Winter ‘23-utgivelsen har nye organisasjoner LWS for LWC aktivert som standard. 

Med Spring ’23-utgivelsen er LWS for Aura tilgjengelig som en betafunksjon og antas å være generelt tilgjengelig i Summer ’23 (trygg havn). LWS for Aura (Beta) aktiveres som standard i nye Salesforce-organisasjoner som ikke har noen tilpassede komponenter. Organisasjoner der LWS for LWC er aktivert i organisasjonen før Spring ’23, og som har kun LWC-er i organisasjonen, vil også ha LWS for Aura (beta) aktivert som standard i organisasjonen med Spring ’23-utgivelsen.

Organisasjoner med LWS for LWC aktivert før Spring ’23, og som har Aura-komponenter i organisasjonen, utelukkes fra LWS for Aura (beta) slik at det ikke påvirker Aura-komponentene i Spring ‘23. Utelukkelsen gjelder kun for produksjonsorganisasjoner. LWS for Aura (beta) aktiveres i Spring Sandbox-organisasjoner slik at du kan starte testing av Aura-komponentene. Se Arbeidsflyt for å prøve LWC-ene dine med Lightning Web Security for å finne mer informasjon.

Vi planlegger å aktivere Lightning Web Security gradvis for alle kunder gjennom kommende utgivelser. Innstillingen for å deaktivere er midlertidig og vil til slutt bli fjernet (trygg havn). 

Tilbake til toppen

 Hvilken potensiell innvirkning kan det få når LWS for LWC aktiveres som standard i nye organisasjoner?

Vi kunngjorde i utgivelsesmerknadene for Winter '23 at LWS for Lightning-nettkomponenter blir aktivert som standard i nye Salesforce-organisasjoner. Fra og med Spring ’23-utgivelsen vil LWS for Aura-komponenten (beta) også bli aktivert som standard i nye Salesforce-organisasjoner. 

I tilpassede organisasjoner som du planlegger å slå sammen eller splitte opp i en ny organisasjon, må du finne ut om Lightning-komponenter brukes i de eksisterende organisasjonene. Og på samme måte, hvis du er en kunde med flere organisasjoner, må du finne ut om Lightning-komponenter brukes i noen metadatamaler og kodeoppbevaringssteder som du bruker til å starte opp nye organisasjoner. Hvis du fyller en ny organisasjon med dine egne Lightning-komponenter eller pakkede Lightning-komponenter som du har brukt i organisasjoner uten LWS aktivert, må du være oppmerksom på at de kjører med LWS aktivert i den nye organisasjonen. Sørg for å teste Lightning-komponentene eller de administrerte pakkene som inneholder Lightning-komponenter i et Sandbox-miljø med innstillingen Bruk Lightning Web Security til Lightning-nettkomponenter (GA) og Aura-komponenter (beta) aktivert.

Spør leverandører av administrerte pakker om deres pakker er kompatible med LWS. Du kan deaktivere LWS hvis det er nødvendig, men vi anbefaler at du først åpner en støttesak for å få hjelp til å løse eventuelle problemer med LWS.

Tilbake til toppen

Hvor blir LWS for Aura (Beta) aktivert automatisk i Spring '23?
Vi aktiverer LWS for Aura (Beta) i disse organisasjonstypene:

  • Nye organisasjoner
  • Midlertidige organisasjoner
  • Sandbox-organisasjoner
  • Produksjonsorganisasjoner som ikke inneholder LWC- eller Aura-komponenter
  • Produksjonsorganisasjoner som inneholder LWC-komponenter, men ikke inneholder Aura-komponenter, hvis LWS for LWC ble aktivert i Winter '23

Tilbake til toppen
 

Hvor blir LWS for Aura (Beta) ikke aktivert automatisk i Spring '23?
Vi aktiverer ikke LWS for Aura (Beta) i disse organisasjonene:

  • Produksjonsorganisasjoner som inneholder Aura-komponenter og der LWS for LWC ble aktivert i Winter '23
  • Produksjonsorganisasjoner som inneholder LWC- og Aura-komponenter og der LWS for LWC ikke ble aktivert i Winter '23. Hvis du aktiverer LWS in Spring '23, aktiverer du LWS for LWC og Aura (beta).


Tilbake til toppen

Kan jeg deaktivere Lightning Web Security etter at Salesforce har aktivert funksjonen?
Ja. Du kan enkelt gå tilbake til å bruke Lightning Locker for Lightning-nettkomponenter ved å oppheve valget av Bruk Lightning Web Security for Lightning-nettkomponenter (GA) og Aura-komponenter (beta) på Øktinnstillinger-siden. Hvis du finner ut at Lightning-komponentene ikke fungerer som de skal, åpner du en sak hos kundestøtte.

Vi planlegger å aktivere Lightning Web Security gradvis for alle kunder i kommende utgivelser. Innstillingen for å deaktivere er midlertidig og vil til slutt bli fjernet. (trygg havn)

Tilbake til toppen

Når Lightning Web Security er aktivert i produksjonsorganisasjonen, finnes det noen mekanisme for å angi unntak på komponentnivå?
Nei. Når Lightning Web Security er aktivert, påvirker det alle Lightning-komponenter i organisasjonen. LWS kan ikke deaktiveres for enkeltkomponenter og er ikke knyttet til noen API-versjon.

Sørg for at alle Lightning-komponenter er klare for å kjøre i LWS før du aktiverer det i en produksjonsorganisasjon. Se Arbeidsflyt for å prøve LWC-er med Lightning Web Security for å finne mer informasjon.

Tilbake til toppen


Finn ut mer


Hvor finner jeg mer informasjon om LWS?
Kunder kan bruke følgende ressurser for å lære mer om LWS:

Tilbake til toppen
 
Hvor kan jeg henvende meg hvis jeg har spørsmål eller bekymringer om LWS?

  • Hvis du trenger hjelp eller ønsker å rapportere et problem, åpner du en sak hos kundestøtte med emne = Developer Support for å finne ut om det er en feil i koden din eller i rammeverket.
  • Logg en Idé hvis ditt brukstilfelle ikke støttes i øyeblikket.
  • Hvis du vil stille spørsmål, kan du besøke Lightning Components Development Group i Trailblazer Community .


Tilbake til toppen

 
Knowledge-artikkelnummer

000392327

 
Laster
Salesforce Help | Article