Loading
Opsæt og vedligehold din Salesforce-organisation
Indhold
Filtrer efter (0)Tilføj
Vælg filtre

          Ingen resultater
          Ingen resultater
          Her er nogle søgetips

          Kontroller stavemåden for dine søgeord.
          Brug mere generelle søgeudtryk.
          Vælg færre filtre for at gøre søgningen bredere.

            Søg efter alle i Hjælp til Salesforce
            Søg efter alle i Hjælp til Salesforce
            Indholdssikkerhedspolitikdirektiv (CSP) gengivelse

            breadcrumbDescription

            1. helpHomeLinkText
            2. docsHomeLinkTextShort
            3. Opsæt og vedligehold din Salesforce-organisation

            Indholdssikkerhedspolitikdirektiv (CSP) gengivelse

            Aktivering af gengivelse af CSP-direktiv (Content Security Policy) giver din Salesforce-organisation mulighed for at indføre de seneste, mest restriktive sikkerhedsstandarder for, hvordan ressourcer indlæses på Lightning.

            Kontrolnavn

            Gengivelse af CSP-direktiv

            Anbefalet konfiguration

            • Anvend CSP-direktiver for mindre almindelige browsere
            • Indfør opdaterede CSP-direktiver

            Opsætning>Bekræftet URL>Ny sikret URL>Indstillinger for indholdssikkerhedspolitik (CSP)>CSP-direktiver |Vælg de direktiver, som Lightning, tredjeparts-API'er og WebSocket-forbindelser kan indlæse fra denne sikrede URL.

            Kontroller oversigt

            Aktivering af gengivelse af CSP-direktiv (Content Security Policy) giver din Salesforce-organisation mulighed for at indføre de seneste, mest restriktive sikkerhedsstandarder for, hvordan ressourcer indlæses på Lightning.

            Ved at aktivere denne kontrol håndhæver platformen strenge regler på browserniveau, der forhindrer XSS (cross-site scripting) og kodeinjektion ved at blokere eksterne scripts, billeder eller iframes, der ikke er eksplicit godkendt i din tilladelsesliste for sikrede URL'er.

            Sikkerhedsrisiko, hvis den ikke er konfigureret

            Uden gengivelse af CSP-direktiv mangler din organisation et robust forsvar på browserniveau mod XSS (Cross-Site Scripting) og uautoriseret dataudtrækning.

            Dette udeladelse giver ondsindede aktører mulighed for at eksekvere ikke-bekræftede scripts eller indlæse skadelige eksterne ressourcer på dine Lightning, hvilket potentielt fører til tyveri af sessionscookies, registrering af legitimationsoplysninger eller den tavse manipulation af følsomme registreringsdata.

            Trusselscenarier

            I et typisk trusselsscenarie udnytter en angriber fraværet af streng CSP-håndhævelse ved at indsætte et ondsindet script i et sårbart felt eller en URL-parameter for at udføre et lagret eller afspejlet XSS-angreb (Cross-Site Scripting).

            Uden disse opdaterede direktiver kan browseren tillade scriptet at køre indbygget eller "telefonstart" til et usikret eksternt domæne, hvilket tillader angriberen at stille udfiltrere følsomme registreringsdata eller registrere brugerinput i realtid, mens vedkommende arbejder under offerets aktive session.

            Estimeret CVSS-scoringsinterval

            Kritisk (9,0-10,0).

            Overvejelser i forbindelse med risikopåvirkning

            Risikopåvirkningen omfatter en kritisk fejl i databeskyttelse på browserniveau, der potentielt tillader angribere at udføre uautoriseret kode, der kan stjæle brugerlegitimationsoplysninger, manipulere følsomme registreringer og forårsage omfattende dataudløb.

            Højere risiko når

            Den øgede risiko ved ikke at aktivere Lightning Web Security (LWS) eller Lightning Locker øger risikoen betydeligt, da den fjerner den væsentlige navneområdeisolering, der forhindrer en enkelt kompromitteret komponent i at få adgang til data på tværs af hele din brugergrænseflade.

            Desuden skaber kombination af svag profil- og tilladelsessæthygiejne – f.eks. tildeling af unødvendige "Vis alle data"-rettigheder eller tilladelse af ikke-godkendt gæstebruger-API-adgang – en "perfekt storm", hvor en angriber kan bruge en grundlæggende XSS-sårbarhed til hurtigt at eskalere rettigheder og udfiltrere hele organisationens database.

            Lav eller ingen risiko når

            For at minimere de risici, der er forbundet med inaktiveret gengivelse af CSP-direktiver, kan du stole på Lightning Web Security (LWS) eller Lightning Locker, som giver en robust arkitektonisk sandbox, der isolerer komponentnavneområder og forhindrer ondsindede scripts i at få adgang til data i andre dele af brugergrænsefladen.

            Desuden giver Salesforce Shield Event Monitoring dig mulighed for at registrere og blokere uregelmæssige dataudtrækningsforsøg i realtid, hvilket effektivt giver et dybdegående lag af forsvar, der fanger trusler, selvom begrænsninger på indhold på browserniveau ikke håndhæves fuldt ud.

            Overvejelser i forbindelse med forretning og integration

            Implementering af gengivelse af CSP-direktiv kræver en omhyggelig revision af alle tredjepartsscripts, billeder og iframes for at sikre, at de føjes til listen over sikrede URL'er, da det at undlade at føje disse eksterne afhængigheder til tilladelseslisten vil afbryde vigtige forretningsintegrationer og brugergrænsefladekomponenter.

            Anbefalet rettelse

            Aktiver CSP-direktiver, der er i overensstemmelse med sikkerhedsstandarder i organisationen.

            Vejledning til sikkerhedstilstandsgennemgang

            Sikkerhedstilstandscheck undersøger CSP-indstillingerne for sikrede URL'er, herunder CSP-direktiver for at justere dem med sikkerhedsstandarder for, hvordan ressourcer indlæses på Lightning

            Related information html

             
            Indlæser
            Salesforce Help | Article