Loading
Salesforce-organisaatiosi määrittäminen ja ylläpito
Sisällysluettelo
Suodatusperuste (0)Lisää
Valitse suodattimet

          Ei tuloksia
          Ei tuloksia
          Tässä on joitain hakuvinkkejä

          Tarkista avainsanojesi oikeinkirjoitus.
          Käytä yleisempiä hakutermejä.
          Laajenna hakua valitsemalla vähemmän suodattimia.

            Hae koko Salesforce-ohjeesta
            Hae koko Salesforce-ohjeesta
            Sisällön suojauskäytännön (CSP) direktiivien renderöinti

            Olet tässä:

            1. Salesforce-ohje
            2. Asiakirja
            3. Salesforce-organisaatiosi määrittäminen ja ylläpito

            Sisällön suojauskäytännön (CSP) direktiivien renderöinti

            CSP (Content Security Policy) -direktiivien renderöinnin ottaminen käyttöön sallii Salesforce-organisaatiosi käyttää uusimpia ja rajoittavimpia tietoturvastandardeja, jotka koskevat resurssien lataamista Lightning.

            Ohjaimen nimi

            CSP-direktiivien renderöinti

            Suositeltu kokoonpano

            • CSP-direktiivien soveltaminen harvinaisille selaimille
            • Hyväksy päivitetyt CSP-direktiivit

            Määritykset>Luotettu URL>Uusi luotettu URL>Sisällön suojauskäytännön (CSP) asetukset>CSP-direktiivit |Valitse direktiivit, joita Lightning, kolmansien osapuolten API-rajapinnat ja WebSocket-yhteydet voivat ladata tästä luotetusta URL-osoitteesta.

            Ohjauksen yleiskatsaus

            CSP (Content Security Policy) -direktiivien renderöinnin ottaminen käyttöön sallii Salesforce-organisaatiosi käyttää uusimpia ja rajoittavimpia tietoturvastandardeja, jotka koskevat resurssien lataamista Lightning.

            Aktivoimalla tämän ohjaimen alusta noudattaa tiukkoja selaintason sääntöjä, jotka estävät sivustojen välisen komentosarjojen (XSS) ja koodin syöttämisen estämällä kaikki ulkoiset komentosarjat, kuvat tai iframe-kehykset, joita ei ole valtuutettu suoraan luotettujen URL-osoitteiden sallittujen osoitteiden luettelossa.

            Tietoturvariski, jos ei määritetty

            Ilman CSP-direktiivien renderöintiä organisaatiollasi ei ole vahvaa selaintason suojausta sivustojen välistä komentosarjaa (XSS) ja valtuuttamatonta datan suodattamista vastaan.

            Tämä ohitus sallii pahantahtoisten toimijoiden suorittaa vahvistamattomia komentosarjoja tai ladata haitallisia ulkoisia resursseja Lightning, mikä saattaa johtaa istuntoevästeiden varastamiseen, tunnusten keräämiseen tai luottamuksellisten tietueiden tietojen hiljaiseen manipulointiin.

            Uhkien skenaariot

            Tavallisessa uhkiskenaariossa hyökkääjä hyödyntää CSP:n tiukkojen pakotteiden puuttumista syöttämällä haavoittuvaan kenttään tai URL-parametriin haitallisen komentosarjan, joka suorittaa tallennetun tai peitetyn sivustojen välisen komentosarjan (XSS) hyökkäyksen.

            Ilman näitä päivitettyjä direktiivejä selain voi sallia komentosarjan suorittamisen suoraan tai "puhelimen aloitussivulle" epäluotetulle ulkoiselle toimialueelle, jolloin hyökkääjä voi suodattaa luottamuksellisia tietueita tai siepata käyttäjän syöttämiä tietoja reaaliajassa, kun hän toimii uhrin aktiivisessa istunnossa.

            Arvioitu CVSS-pistealue

            Kriittinen (9.0–10.0).

            Riskien vaikutuksissa huomioitavia asioita

            Riskien vaikutus kattaa selaintason tietoturvan kriittisen virheen, joka mahdollisesti sallii hyökkääjien suorittaa valtuuttamatonta koodia, joka voi varastaa käyttäjien tunnukset, manipuloida luottamuksellisia tietueita ja aiheuttaa laajalle levinneen tietojen suodattamisen.

            Korkeampi riski, kun

            Lightning Web Security (LWS) tai Lightning Locker -sovelluksen käyttöönoton epäonnistuminen lisää riskiä merkittävästi, koska se poistaa välttämättömän nimitilan eristämisen, joka estää yhden vaarantuneen komponentin käyttämästä dataa koko käyttöliittymästäsi.

            Lisäksi heikko profiilien ja käyttöoikeusjoukkojen hygienia — kuten tarpeettomien kaikkien tietojen tarkasteluoikeuksien myöntäminen tai todentamattoman Vieraskäyttäjä-API-käyttöoikeuden myöntäminen — luo "täydellisen myrskyn", jossa hyökkääjä voi käyttää perustietojen XSS-haavoittuvuutta eskaloidakseen käyttöoikeuksia nopeasti ja purtaakseen organisaation koko tietokannan.

            Matala riski tai ei riskiä, kun

            Voit vähentää CSP-direktiivien renderöinnin käytöstä poistamiseen liittyviä riskejä luottamalla Lightning Web Security (LWS)- tai Lightning Locker -tuotteisiin, jotka tarjoavat kestävän rakenteellisen sandboxin, joka eristää komponenttien nimitilat ja estää haitallisia komentosarjoja käyttämästä käyttöliittymän muissa osissa olevaa dataa.

            Lisäksi Salesforce Shield Event Monitoringin avulla voit havaita ja estää poikkeavia datan suodatusyrityksiä reaaliajassa, mikä tarjoaa tehokkaasti syvällisen puolustuskerroksen, joka havaitsee uhkia, vaikka selaintason sisältörajoituksia ei noudatettaisi täysin.

            Liiketoiminnassa ja integraatiossa huomioitavia asioita

            CSP-direktiivin renderöinnin toteuttaminen vaatii kaikkien kolmansien osapuolten komentosarjojen, kuvien ja iframe-kehysten huolellisen tarkastuksen varmistaakseen, että ne lisätään Luotetut URL-osoitteet -luetteloon, koska näiden ulkoisten sidonnaisuuksien lisääminen sallittujen luetteloon rikkoo kriittisiä liiketoimintaintegraatioita ja käyttöliittymäkomponentteja.

            Suositeltu korjaus

            Ota käyttöön CSP-direktiivit, jotka ovat yhdenmukaisia organisaation tietoturvastandardien kanssa.

            Tietoturvan terveystarkastuksen ohjeet

            Suojauksen terveystarkastus tarkastaa luotettujen URL-osoitteiden CSP-asetukset, mukaan lukien CSP-direktiivit, noudattaakseen suojausstandardeja siitä, miten resurssit ladataan Lightning.

            Katso myös:

             
            Ladataan
            Salesforce Help | Article