Usted está aquí:
Configurar la protección contra secuestro de clics
El secuestro de clics es un tipo de ataque que induce al usuario a hacer clic en algún tipo de contenido, como, por ejemplo, un botón o un vínculo. El clic envía una solicitud HTTP que realiza acciones maliciosas que pueden llevar a una incumplimiento de datos, mensajes de correo electrónico no autorizados, credenciales cambiados o resultados similares. Para ayudar a protegerse frente a este tipo de ataque, la mayoría de las páginas de Salesforce solo pueden servirse en un marco en línea por una página en el mismo dominio. Obtenga información acerca de qué tipos de páginas se pueden enmarcar y cómo configurar los ajustes de secuestro de clics relacionados.
Ediciones necesarias
| Disponible en: Salesforce Classic y Lightning Experience |
| Disponible en: Contact Manager Edition, Group Edition, Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition |
Protección contra secuestro de clics
El secuestro de clics utiliza un dominio o sitio de confianza para engañar a los usuarios para que hagan clic en un vínculo malicioso. Con el secuestro de clics, el dominio de confianza se sirve en un iframe, y luego se sirve un control de interfaz de usuario oculto o transparente en la misma ubicación. Por ejemplo, un botón transparente situado en la parte superior del botón Guardar. El usuario piensa que está haciendo clic en el iframe de nivel superior cuando está realmente haciendo clic en el control de la interfaz de usuario oculto.
Para proteger sus usuarios, Salesforce utiliza la protección contra secuestro de clics. Para las páginas que sirve Salesforce, la protección contra secuestro de clics se implementa a través de la directiva del encabezado de respuesta HTTP frame-ancestors de Política de seguridad de contenidos (CSP). Un encabezado de respuesta HTTP es parte de la respuesta HTTP que se pasa desde un servidor a un navegador o equipo del cliente en respuesta a una solicitud HTTP. Dentro de ese encabezado, una directiva es un valor que proporciona contexto adicional o instrucciones. La directiva del encabezado de respuesta HTTP frame-ancestors de CSP indica al navegador qué sitios se pueden cargar en un iframe.
Salesforce aplica la directiva de encabezado de respuesta HTTP frame-ancestors de CSP a las páginas que sirve Salesforce cuando se admite esa directiva. Para ampliar la protección contra secuestro de clics a más usuarios, puede incluir esa directiva en los casos poco comunes cuando Salesforce no puede identificar si la aplicación solicitante o el navegador especializado admite la directiva. Para obtener más información, consulte Aplicar la protección contra secuestro de clics a navegadores menos comunes.
Se aplican tres valores de frame-ancestors de CSP en Salesforce. El tipo de página determina si el encabezado de respuesta HTTP está presente de forma predeterminada y cuál de estas opciones está disponible en el encabezado.
'none': evita la carga de esta página en un iframe.'self'– las páginas del mismo origen como la página protegida, incluyendo el mismo esquema de URL y número de puerto, pueden cargar esta página en un iframe.- Una lista de dominios: los dominios que pueden cargar esta página en un iframe. La lista puede incluir comodines. Por ejemplo,
*.force.com. Habitualmente, esta opción se combina con el valor'self'.
frame-ancestors de CSP sustituye al encabezado de X-Frame-Options obsoleto. Para obtener más información, consulte X-Frame-Options en la Red de desarrolladores de Mozilla.Tamaño de encabezado de CSP
Algunas infraestructuras limitan el tamaño máximo de encabezados HTTP. Si permite que varios dominios enmarquen contenido servido por su organización, mantenga el tamaño del encabezado de CSP por debajo de 12 KB. Los clientes de Salesforce reportan problemas cuando el tamaño del encabezado se acerca a 16 KB, y terceros a menudo agregan al encabezado durante el procesamiento.
Páginas de inicio de sesión de Salesforce
Los sitios externos no pueden enmarcar páginas de inicio de sesión de Salesforce, incluyendo páginas de inicio de sesión genéricas, como https://login.salesforce.com. Además, los sitios externos no pueden enmarcar la página de inicio de sesión de Mi dominio de su organización, como https://mycompany.my.salesforce.com. Para estas páginas, el encabezado de respuesta HTTP frame-ancestors de CSP está establecido en 'none', y no puede cambiar el encabezado de respuesta HTTP.
Páginas Lightning
Las páginas Lightning entregadas por Salesforce como parte de la plataforma pueden enmarcar páginas Lightning en la misma organización. Las direcciones URL de estas páginas contienen lightning.force.com y un identificador único en el formato de un número de 16 dígitos. Para estas páginas, el encabezado de respuesta HTTP frame-ancestors de CSP está establecido en 'self', y no puede cambiar la directiva del encabezado de respuesta HTTP.
Para obtener detalles acerca de las opciones de protección contra secuestro de clics para la página Lightning de su sitio de Experience Cloud, consulte la sección de este tema en sitios de Experience Cloud.
Páginas de Salesforce Classic
Los sitios externos no pueden enmarcar páginas creadas en Salesforce Classic y entregadas por Salesforce. Ejemplos de páginas de Salesforce Classic incluyen páginas de Configuración y las páginas para objetos de Salesforce, como la página de detalles Cuenta. Aunque los usuarios pueden ver estas páginas en el modo Lightning, las páginas se crearon con Salesforce Classic.
Dos configuraciones de sesión prohíben el enmarcado de páginas Classic entregadas por Salesforce: Activar la protección contra secuestro de clics para páginas de configuración y Activar la protección contra secuestro de clics para páginas de Salesforce no de configuración. Esta configuración se activa de forma predeterminada y no se puede desactivar. Para desactivar estos parámetros, póngase en contacto con el Servicio de atención al cliente de Salesforce.
Páginas de Visualforce
De forma predeterminada, las páginas de Visualforce se pueden cargar en un iframe. En páginas de Visualforce con encabezados, la directiva del encabezado de respuesta HTTP frame-ancestors de CSP está ausente.
Para evitar que los sitios web externos carguen sus páginas Visualforce en un iframe, defina los dominios externos de su Trust para enmarcar sus páginas Visualforce y luego active dos parámetros de sesión. Para obtener más información, consulte Activar la protección contra secuestro de clics para páginas de Visualforce y Especificar dominios de confianza para marcos en línea en la Ayuda de Salesforce.
Debido a que los navegadores bloquean cookies de terceros, el enmarcado de una página Visualforce autenticada requiere pasos adicionales. Consulte Poner páginas Visualforce en dominios externos en la Guía del desarrollador.
Sitios de Experience Cloud
De forma predeterminada, las páginas de sitio de Experience Cloud pueden enmarcar otras páginas de sitio con el mismo dominio y seguridad de protocolo. La directiva del encabezado de respuesta HTTP frame-ancestors de CSP para estas páginas se establece como 'self'.
Puede permitir que los dominios externos de confianza enmarquen sus páginas de sitio a través de ajustes a nivel de página. Para páginas de sitio de Experience Builder, los parámetros de secuestro de clics están en los parámetros de Seguridad y privacidad. Para Fichas de Salesforce y sitios de Visualforce, los parámetros de secuestro de clics están en la administración de páginas para sitios de Force.com en Espacios de trabajo de Experience.
Para obtener más información, consulte Activar la protección contra secuestro de clics en sitios de Experience Cloud en la Ayuda de Salesforce.
Sitios de Salesforce y de Force.com
De forma predeterminada, una página dentro de Sitios de Salesforce y Sitios de Force.com pueden enmarcar otras páginas de sitio con el mismo dominio y seguridad de protocolo. La directiva del encabezado de respuesta HTTP frame-ancestors de CSP para estas páginas se establece como 'self'.
Puede permitir que los dominios externos de confianza enmarquen sus páginas de sitio a través de ajustes de configuración de sitio a nivel de página. Para establecer el nivel de protección contra secuestro de clics y los dominios de confianza para cada página, modifique la configuración en Site.com Studio. Para obtener más información, consulte Activar la protección contra secuestro de clics en Site.com en la Ayuda de Salesforce.
Encuestas
De forma predeterminada, las encuestas pueden enmarcarse por páginas con la misma dominio y seguridad de protocolo. La directiva de encabezado de respuesta HTTP de frame-ancestors de CSP está establecida en 'self'.
Opcionalmente, puede definir los dominios externos en los que confía para enmarcar las encuestas para su organización. Para obtener más información, consulte Especificar dominios de confianza para marcos en línea en la Ayuda de Salesforce.
Conector de núcleo de revelación y cumplimiento
De forma predeterminada, el conector de Núcleo de cumplimiento y revelación puede estar enmarcado por páginas con la misma seguridad de dominio y protocolo. La directiva de encabezado de respuesta HTTP de frame-ancestors de CSP está establecida en 'self'.
Opcionalmente, puede definir los dominios externos de su Trust para enmarcar el conector de Núcleo de cumplimiento y revelación para su organización. Para obtener más información, consulte Especificar dominios de confianza para marcos en línea en la Ayuda de Salesforce.
