Usted está aquí:
Directiva de política de seguridad de contenidos (CSP) que representa el control
La activación de la presentación de directivas de CSP (Política de seguridad de contenidos) permite a su organización de Salesforce adoptar los estándares de seguridad más recientes y restrictivos sobre cómo se cargan los recursos en páginas Lightning.
Nombre de control
Representación de directivas de CSP
Configuración recomendada
- Aplicar directivas de CSP para navegadores menos comunes
- Adoptar directivas de CSP actualizadas
Configuración>URL de confianza>Nueva URL de confianza>Configuración de Política de seguridad de contenidos (CSP)>Directivas de CSP|Seleccione las directivas que los componentes Lightning, las API externas y las conexiones WebSocket pueden cargar desde esta URL de confianza.
Descripción general de control
La activación de la presentación de directivas de CSP (Política de seguridad de contenidos) permite a su organización de Salesforce adoptar los estándares de seguridad más recientes y restrictivos sobre cómo se cargan los recursos en páginas Lightning.
Al activar este control, la plataforma aplica reglas estrictas a nivel del navegador que evitan la creación de secuencias de comandos de sitio cruzadas (XSS) y la inyección de código bloqueando cualquier secuencia de comandos externa, imagen o iframe que no se haya autorizado explícitamente en su lista de admisión de direcciones URL de confianza.
Riesgo de seguridad si no está configurado
Sin la presentación de directivas de CSP, su organización carece de una defensa sólida a nivel de navegador contra la secuencia de comandos de sitio cruzado (XSS) y la exfiltración de datos no autorizada.
Esta omisión permite a los actores malintencionados ejecutar secuencias de comandos no verificadas o cargar recursos externos dañinos en sus páginas Lightning, lo que podría llevar al robo de cookies de sesión, la recolección de credenciales o la manipulación silenciosa de datos de registros confidenciales.
Escenarios de amenazas
En un escenario de amenaza habitual, un atacante explota la ausencia de una aplicación estricta de CSP inyectando una secuencia de comandos maliciosa en un campo vulnerable o parámetro de URL para ejecutar un ataque de secuencias de comandos de sitio cruzado (XSS) almacenadas o reflejadas.
Sin estas directivas actualizadas, el navegador puede permitir que la secuencia de comandos se ejecute en línea o por "teléfono de inicio" en un dominio externo que no sea de confianza, permitiendo al atacante exfiltrar silenciosamente datos de registros confidenciales o capturar entradas de usuarios en tiempo real mientras opera bajo la sesión activa de la víctima.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
El impacto de riesgo incluye un fallo crítico en la protección de datos a nivel del navegador, permitiendo potencialmente a los atacantes ejecutar código no autorizado que puede robar credenciales de usuario, manipular registros confidenciales y causar una exfiltración de datos generalizada.
Riesgo más alto cuando
El riesgo aumentó al no activar Lightning Web Security (LWS) o Lightning Locker aumenta significativamente el riesgo, ya que elimina el aislamiento esencial del espacio de nombres que evita que un único componente comprometido acceda a datos en toda su interfaz de usuario.
Además, la combinación de una higiene débil de Perfil y Conjunto de permisos (como otorgar derechos innecesarios de "Ver todos los datos" o permitir el acceso de API de usuario invitado no autenticado) crea una "tormenta perfecta" donde un atacante puede utilizar una vulnerabilidad de XSS básica para distribuir rápidamente privilegios y exfiltrar toda la base de datos de la organización.
Riesgo bajo o nulo cuando
Para minimizar los riesgos asociados con la presentación de directivas de CSP desactivada, puede confiar en Lightning Web Security (LWS) o Lightning Locker, que proporcionan un entorno sandbox arquitectónico robusto que aísla espacios de nombres de componentes y evita que las secuencias de comandos maliciosas accedan a datos en otras partes de la interfaz de usuario.
Además, utilizar Salesforce Shield Event Monitoring le permite detectar y bloquear intentos de exfiltración de datos anómalos en tiempo real, proporcionando de forma efectiva una capa de defensa en profundidad que captura amenazas incluso si las restricciones de contenido a nivel del navegador no se aplican completamente.
Consideraciones comerciales y de integración
La implementación de la presentación de directivas de CSP requiere una auditoría meticulosa de todas las secuencias de comandos, imágenes e iframes externos para asegurarse de que se agregan a la lista Direcciones URL de confianza, ya que si no se agregan estas dependencias externas a la lista de admisión, se romperán las integraciones comerciales críticas y los componentes de la interfaz de usuario.
Remediación recomendada
Active Directivas de CSP que se alinean con estándares de seguridad en la organización.
Directrices de revisión del estado de seguridad
Security Health Review inspecciona la configuración de CSP de direcciones URL de confianza incluyendo Directivas de CSP para alinearse con estándares de seguridad sobre cómo se cargan los recursos en páginas Lightning.
