Loading
Experience Cloud
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            在 Experience Cloud 站点中启用点击劫持保护

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. Experience Cloud

            在 Experience Cloud 站点中启用点击劫持保护

            点击劫持是一种诱使用户点击某些内容(例如按钮或链接)的攻击类型,因为用户认为内容安全。通过创建指向 Experience Cloud 站点页面的隐藏 iframe,黑客可以诱使用户点击似乎在不同 Web 页面上的元素。但是,不是由可见元素处理点击,而是点击被劫持,顶部不可见站点 iframe 的某些元素接收到它。点击劫持可能会导致数据入侵、未授权的电子邮件、更改凭据或其他特定于恶意站点的结果。但凭借点击劫持保护,您可以通过控制浏览器是否允许指向页面的框架来保护站点。

            备注
            备注 要为 Site.com 站点配置点击劫持保护,请参见在 Site.com 中启用点击劫持保护

            您可将 Experience Cloud 站点页面的点击劫持保护设置为以下其中一个级别。

            • 按任何页面允许框架(无保护):安全级别最低。所有外部域都可以构建站点页面的框架。
            • 允许对外部域上的站点页面构建框架(保护效果良好):只有受信外部域才可以构建站点页面的框架。您可以在“内联框架的受信任域”列表中指定您信任的域。
            • 仅按相同来源允许框架(推荐):Experience Cloud 站点的默认级别。允许按相同域名和协议安全性的页面构建站点页面的框架。
            • 不允许任何页面搭建框架(最强保护):最安全的级别。但对于 Salesforce 选项卡 + Visualforce 站点和体验生成器站点,此选项会阻止打开体验工作区管理部分中的页面。为避免此问题,请选择不同的点击劫持保护级别。
            提示
            提示 对于体验生成器站点和 Salesforce 选项卡 + Visualforce 站点,启用点击劫持保护的位置不同。如果您的站点同时包含体验生成器和 Visualforce 页面,请在这两个位置启用点击劫持保护。

            为体验生成器站点启用点击劫持保护

            1. 在体验生成器中,选择设置 | 安全性和隐私性
            2. 在点击劫持保护级别下,选择点击劫持保护级别。
            3. 如果您选择允许在外部域上构建站点页面框架,请指定您信任用来构建站点框架的域。对于每个受信域,请执行以下步骤。
              1. 对于内联框架的信任域部分,单击添加信任域
              2. 输入可以构建站点页面框架的域。

                对于每个体验生成器站点,您最多可以添加 100 个受信域。

                一些基础设施限制了 HTTP 标题的最大大小。如果您允许多个域构建站点框架,请将 CSP 标题的大小保持在 12 KB 以下。当标题大小接近 16 KB 时,Salesforce 客户会报告问题,第三方通常会在处理过程中添加到标题中。

                提示
                提示 添加的域仅在选择允许对外部域上的站点页面构建框架(良好的保护)时生效。

            为 Salesforce 选项卡 + Visualforce 站点启用点击劫持保护

            1. 要访问“站点详细信息”页面,请使用以下方法之一。
              • 在体验工作区中,选择管理 | 页面 | 转到 Force.com
              • 从 Salesforce 设置中,在快速查找方框中输入站点和域,选择站点,并从站点列表中选择站点。
            2. 单击“站点详细信息”页面上的编辑
            3. 选择点击劫持保护的首选级别,并保存更改。
            4. 如果您选择允许在外部域上构建站点页面框架,请指定您信任用来构建页面框架的域。对于每个域,请执行以下步骤。
              1. 在内联框架的受信域部分中,单击添加域
              2. 输入可以构建站点页面框架的域。

                对于每个 Salesforce 选项卡 + Visualforce 站点,您最多可以添加 512 个受信域。

                一些基础设施限制了 HTTP 标题的最大大小。如果您允许多个域构建站点页面的框架,请将 CSP 标题的大小保持在 12 KB 以下。当标题大小接近 16 KB 时,Salesforce 客户会报告问题,第三方通常会在处理过程中添加到标题中。

                提示
                提示 添加的域仅在选择允许对外部域上的站点页面构建框架(良好的保护)时生效。
            备注
            备注 Internet Explorer 仅通过原有 X-Frame-Options HTTP 标头支持点击劫持保护。此标题支持 sameorigindeny(无)、allowallallow-from URI。特别是 allow-from URI 仅支持一个 URI。

            为了支持 IE 用户的列表,框架站点必须通过在 iframe 标记中传递查询参数来向站点域表明自己。例如,如果您将 https://example.com 添加为受信外部域,https://example.com 上的页面必须按如下方式接受 iframe:

            <iframe src="https://MyDomainName.my.site.com?_iframeDomain=https://example.com"></iframe>

            您也可以在iframeDomain Cookie 中设置受信外部域。如果在 IE 中导航页面时未保存_iframeDomain URL 变量,此方法允许 iframe。

            Cookie iframeDomainCookie = ApexPages.currentPage().getCookies().get('iframeDomain');

if (iframeDomainCookie == null) {
    iframeDomainCookie = new Cookie('iframeDomain','www.example.com');

    // Set the new cookie for the page
    ApexPages.currentPage().setCookies(new Cookie[]{iframeDomainCookie});
}
             
            正在加载
            Salesforce Help | Article