Usted está aquí:
Representación de directivas de Política de seguridad de contenidos (CSP)
La activación de la representación de directivas de CSP (Política de seguridad de contenidos) permite a su organización de Salesforce adoptar los estándares de seguridad más recientes y restrictivos sobre cómo se cargan los recursos en páginas Lightning.
Nombre de control
Representación de directivas de CSP
Configuración recomendada
- Aplicar directivas de CSP para navegadores menos comunes
- Adoptar directivas de CSP actualizadas
Configuración>URL de confianza>Nueva URL de confianza>Configuración de Política de seguridad de contenidos (CSP)>Directivas de CSP|Seleccione las directivas que los componentes Lightning, las API externas y las conexiones WebSocket pueden cargar desde esta URL de confianza.
Descripción general de control
La activación de la representación de directivas de CSP (Política de seguridad de contenidos) permite a su organización de Salesforce adoptar los estándares de seguridad más recientes y restrictivos sobre cómo se cargan los recursos en páginas Lightning.
Activando este control, la plataforma aplica reglas estrictas a nivel del navegador que evitan la creación de secuencias de comandos de sitio cruzadas (XSS) y la inyección de código bloqueando cualquier secuencia de comandos externa, imagen o iframe que no se autorizó explícitamente en su lista de admisión de direcciones URL de confianza.
Riesgo de seguridad si no está configurado
Sin la representación de directivas de CSP, su organización carece de una defensa sólida a nivel de navegador contra la secuencia de comandos de sitio cruzada (XSS) y la exfiltración de datos no autorizada.
Esta omisión permite a los actores malintencionados ejecutar secuencias de comandos no verificadas o cargar recursos externos dañinos en sus páginas Lightning, lo que podría llevar al robo de cookies de sesión, la recolección de credenciales o la manipulación silenciosa de datos de registros confidenciales.
Escenarios de amenazas
En un escenario de amenaza habitual, un atacante explota la ausencia de una aplicación estricta de CSP inyectando una secuencia de comandos maliciosa en un campo vulnerable o parámetro de URL para ejecutar un ataque de secuencias de comandos de sitio cruzadas (XSS) almacenadas o reflejadas.
Sin estas directivas actualizadas, el navegador puede permitir que la secuencia de comandos se ejecute en línea o "telefonee a casa" a un dominio externo que no sea de confianza, permitiendo al atacante exfiltrar silenciosamente datos de registros confidenciales o capturar entradas de usuarios en tiempo real mientras opera bajo la sesión activa de la víctima.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
El impacto de riesgo abarca un fallo crítico en la protección de datos a nivel del navegador, permitiendo potencialmente a los atacantes ejecutar código no autorizado que puede robar credenciales de usuario, manipular registros confidenciales y causar una exfiltración de datos generalizada.
Mayor riesgo cuando
El riesgo aumentó al no activar Lightning Web Security (LWS) o Lightning Locker aumenta significativamente el riesgo, ya que elimina el aislamiento esencial del espacio de nombres que evita que un único componente comprometido acceda a datos en toda su interfaz de usuario.
Además, la combinación de una higiene de perfil y conjunto de permisos débil, como otorgar derechos innecesarios de "Ver todos los datos" o permitir el acceso no autenticado a la API de usuario invitado, crea una "tormenta perfecta" donde un atacante puede utilizar una vulnerabilidad XSS básica para distribuir privilegios rápidamente y exfiltrar toda la base de datos de la organización.
Bajo o ningún riesgo cuando
Para minimizar los riesgos asociados con la representación de directivas de CSP desactivada, puede confiar en Lightning Web Security (LWS) o Lightning Locker, que proporcionan un entorno sandbox arquitectónico sólido que aísla espacios de nombres de componentes y evita que las secuencias de comandos maliciosas accedan a datos en otras partes de la interfaz de usuario.
Además, utilizar Salesforce Shield Event Monitoring le permite detectar y bloquear intentos de exfiltración de datos anómalos en tiempo real, proporcionando de forma efectiva una capa de defensa en profundidad que capta amenazas incluso si las restricciones de contenido a nivel del navegador no se aplican completamente.
Consideraciones de negocio e integración
La implementación de la representación de directivas de CSP requiere una auditoría meticulosa de todas las secuencias de comandos, imágenes e iframes externos para asegurarse de que se agregan a la lista Direcciones URL de confianza, ya que si no se agregan estas dependencias externas a la lista de admisión, se interrumpirán las integraciones de negocio críticas y los componentes de la interfaz de usuario.
Remediación recomendada
Active Directivas de CSP que se alinean con estándares de seguridad en la organización.
Directrices de revisión del estado de seguridad
Security Health Review inspecciona la configuración de la CSP de direcciones URL de confianza, incluyendo directivas de CSP, para alinearse con los estándares de seguridad sobre cómo se cargan los recursos en páginas Lightning.
