点击劫持保护

控件名称

点击劫持保护

推荐配置

• 启用设置页面的点击劫持保护
• 为非设置 Salesforce 页面启用点击劫持保护
• 为带有标准标题的客户 Visualforce 页面启用点击劫持保护
• 为禁用标题的客户 Visualforce 页面启用点击劫持保护

设置>会话设置>点击劫持保护>启用所有点击劫持保护选项。

控制概览

为了保护您的组织免受 UI 补救攻击，Salesforce 提供了点击劫持保护设置，以防止恶意网站在不可见的 iframe 中嵌入您的 Salesforce 页面，例如设置或自定义 Visualforce 页面。

安全风险（如果未配置）

不启用点击劫持保护会使您的用户受到 UI Redress 攻击，攻击者会将您的 Salesforce 页面嵌入恶意站点上不可见的 iframe，诱使他们执行意外操作，例如删除记录或授予权限。这种疏忽造成了未经授权的数据修改和账户泄露的高风险，因为合法的用户交互被劫持，以便在用户不Knowledge的情况下执行恶意命令。

威胁场景

攻击者直接通过“兑奖”等诱饵按钮将经过身份验证的 Salesforce 用户引诱到托管敏感 Salesforce 页面不可见 iframe 的恶意网站，例如用户停用或记录删除屏幕。当用户单击诱饵时，他们会在不知不觉中执行隐藏的 Salesforce 命令，这可能会导致在没有任何可见警告的情况下未经授权删除关键客户数据或提升攻击者自己的系统权限。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

核心风险影响涉及对数据机密性和系统完整性的严重危害，利用未缓解的漏洞会导致未经授权的数据泄露、欺诈性管理操作和严重的违规。

高风险

过于宽松的受信域列表会显著增加风险，这会使不受信或受威胁的外部站点绕过框架限制并托管不可见的 Salesforce 组件。此外，如果忽略为自定义 Visualforce 页面或 Experience Cloud 站点启用点击劫持保护，同时仅保护内部设置，攻击者就会利用漏洞“后门”攻击非管理员用户。

低风险或无风险

为了最大限度地减少点击劫持的风险，组织可以使用内联框架的受信域来明确将仅授权的外部站点加入白名单，确保框架仅限于已知安全的环境。此外,采用具有安全 API 集成的 Lightning Web 组件 (LWC) 允许在不需要 iframes 的情况下呈现本地数据，从而有效地消除了主要攻击向量，同时保持了最小权限模型来限制任何意外劫持点击的潜在破坏。

业务和集成注意事项

实施点击劫持保护需要对 iframe Salesforce 页面的所有外部入口网站和第三方应用程序进行全面审计，以确保它们被正确地列入允许列表，因为过于严格的设置会破坏业务关键型集成和面向客户的工作流。

建议的补救措施

在 Salesforce 会话设置中启用点击劫持保护。

安全健康审查指导

安全运行状况检查组织的会话设置，以验证点击劫持保护是否根据最佳实践启用。