Vous êtes ici :
Configuration de la protection contre le détournement de clic
Le détournement de clic est un type d'attaque qui incite l'utilisateur à cliquer sur un élément, par exemple un bouton ou un lien. Le clic envoie une requête HTTP qui exécute des actions malveillantes pouvant entraîner un piratage des données, des e-mails non autorisés, des identifiants modifiés ou des résultats similaires. Pour protéger contre ce type d'attaque, la plupart des pages Salesforce peuvent être servies dans un cadre en ligne uniquement par une page du même domaine. Découvrez les types de page qui peuvent être encadrés et comment configurer les paramètres associés au détournement de clic.
Éditions requises
| Disponible avec : Salesforce Classic et Lightning Experience |
| Disponible avec : Contact Manager Edition, Group Edition, Professional Edition, Enterprise Edition, Performance Edition, Unlimited Edition et Developer Edition |
Protection Clickjack
Le détournement de clic utilise un domaine ou un site de confiance pour tromper les utilisateurs et les inciter à cliquer sur un lien malveillant. Avec le détournement de clic, le domaine de confiance est servi dans un cadre en ligne, et un contrôle d'interface utilisateur masqué ou transparent est servi au même emplacement. Par exemple, un bouton transparent au-dessus du bouton Enregistrer. L'utilisateur pense qu'il clique sur le cadre supérieur alors qu'il clique en réalité sur le contrôle d'interface utilisateur masqué.
Pour protéger vos utilisateurs, Salesforce utilise la protection contre le détournement de clic. Pour les pages servies par Salesforce, la protection contre le détournement de clic est implémentée via la directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus (CSP). Un en-tête de réponse HTTP fait partie de la réponse HTTP transmise depuis un serveur vers un navigateur ou un ordinateur client en réponse à une requête HTTP. Dans cet en-tête, une directive est une valeur qui fournit un contexte ou des instructions supplémentaires. La directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus indique au navigateur quels sites sont autorisés à charger la page dans un cadre en ligne.
Salesforce applique la directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus aux pages que Salesforce sert lorsque cette directive est prise en charge. Pour appliquer la protection contre le détournement de clics à d'autres utilisateurs, vous pouvez inclure cette directive dans les cas rares où Salesforce ne peut pas identifier si l'application demandeur ou le navigateur spécialisé prend en charge la directive. Pour plus d'informations, consultez Application de la protection contre le détournement de clics aux navigateurs moins courants.
Trois valeurs frame-ancestors de la CSP s'appliquent dans Salesforce. Le type de page détermine si l'en-tête de réponse HTTP est présent par défaut et les options disponibles dans l'en-tête.
'none': empêche le chargement de la page dans un cadre en ligne.'self': les pages de même origine que la page protégée, y compris le même schéma d'URL et le même numéro de port, peuvent charger cette page dans un cadre en ligne.- Liste de domaines : les domaines autorisés à charger cette page dans un cadre en ligne. La liste peut inclure des caractères génériques, Par exemple,
*.force.com. Généralement, cette option est combinée à la valeur'self'.
frame-ancestors de la CSP remplace l'en-tête X-Frame-Options obsolète. Pour plus d'informations, consultez X-Frame-Options dans Mozilla Developer Network.Pages de connexion Salesforce
Les sites externes ne peuvent pas encadrer les pages de connexion Salesforce, y compris les pages de connexion génériques telles que https://login.salesforce.com. De plus, les sites externes ne peuvent pas encadrer la page de connexion Mon domaine de votre organisation, par exemple https://monentreprise.my.salesforce.com. Pour ces pages, l'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'none' et vous ne pouvez pas modifier l'en-tête de réponse HTTP.
Pages Lightning
Les pages Lightning livrées par Salesforce avec la même plate-forme peuvent encadrer des pages Lightning dans la même organisation. Les URL de ces pages contiennent lightning.force.com et un identifiant unique sous forme de numéro à 16 chiffres. Pour ces pages, l'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'self' et vous ne pouvez pas modifier la directive de l'en-tête de réponse HTTP.
Pour plus d'informations sur les options de protection contre le détournement de clic pour les pages Lightning de votre site Experience Cloud, consultez la section de la rubrique sur les sites Experience Cloud.
Pages Salesforce Classic
Les sites externes ne peuvent pas encadrer les pages élaborées dans Salesforce Classic et livrées par Salesforce. Les pages Salesforce Classic contiennent par exemple des pages de Configuration et les pages d'objet Salesforce, en particulier la page de détail Compte. Les utilisateurs peuvent afficher ces pages en mode Lightning, mais elles ont été élaborées avec Salesforce Classic.
Deux paramètres de session interdisent l'encadrement des pages Classic livrées par Salesforce : Activer la protection contre le détournement de clic pour les pages de configuration et Activer la protection contre le détournement de clic pour les pages Salesforce hors Configuration. Ces paramètres sont activés par défaut et ne peuvent pas être désactivés. Pour les désactiver, contactez le Support client de Salesforce.
Pages Visualforce
Par défaut, les pages Visualforce peuvent être chargées dans un cadre en ligne. Pour des pages Visualforce avec des en-têtes, la directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est absente.
Pour empêcher les sites Web externes de charger vos pages Visualforce dans un iframe, définissez les domaines externes que vous Trust pour encadrer vos pages Visualforce, puis activez deux paramètres de session. Pour plus d'informations, consultez Activation de la protection contre le détournement de clic pour les pages Visualforce et Spécification de domaines approuvés pour les cadres en ligne dans l'Aide de Salesforce.
Les navigateurs bloquant les cookies tiers, le tramage d'une page Visualforce authentifiée nécessite des étapes supplémentaires. Voir Put Visualforce Pages on External Domains dans le Visualforce Developer Guide.
Sites Experience Cloud
Par défaut, les pages de site Experience Cloud peuvent encadrer d'autres pages de site du même domaine et avec le même protocole de sécurité. La directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'self' pour ces pages.
Vous pouvez autoriser les domaines externes de confiance à encadrer les pages de votre site dans les paramètres au niveau de la page. Pour les pages de site du Générateur d'expérience, les paramètres de protection contre le détournement de clic se situent dans Sécurité et confidentialité. Pour les sites Onglets Salesforce et Visualforce, les paramètres de protection contre le détournement de clic se situent dans l'administration de pages des sites Force.com dans Espaces de travail d'expérience.
Pour plus d’informations, consultez Activation de la protection contre le détournement de clic dans les sites Experience Cloud dans l’Aide de Salesforce.
Sites Salesforce et sites Force.com
Par défaut, une page des sites Experience Cloud et Force.com peut encadrer d'autres pages de site du même domaine et avec le même protocole de sécurité. La directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'self' pour ces pages.
Vous pouvez autoriser des domaines externes de confiance à encadrer les pages de votre site dans les paramètres de configuration de sites au niveau de la page. Pour définir le niveau de protection contre le détournement de clic et les domaines de confiance pour chaque page, éditez la configuration dans Site.com Studio. Pour plus d’informations, consultez Activation de la protection contre le détournement de clic dans Site.com dans l’Aide de Salesforce.
Enquêtes
Par défaut, les enquêtes peuvent être encadrées par des pages du même domaine et avec le même protocole de sécurité. La directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'self'.
Vous pouvez également définir les domaines externes de confiance autorisés à encadrer les enquêtes pour votre organisation. Pour plus d'informations, consultez Spécification de domaines approuvés pour des cadres en ligne dans l'Aide de Salesforce.
Connecteur de la plate-forme de divulgation et de conformité
Par défaut, le connecteur Plate-forme de divulgation et de conformité peut être encadré par des pages avec le même domaine et le même protocole de sécurité. La directive d'en-tête de réponse HTTP frame-ancestors de la Stratégie de sécurité des contenus est défini sur 'self'.
Vous pouvez également définir les domaines externes que vous Trust pour encadrer le connecteur Plate-forme de divulgation et de conformité de votre organisation. Pour plus d'informations, consultez Spécification de domaines approuvés pour des cadres en ligne dans l'Aide de Salesforce.
