Loading
Salesforce 조직 설정 및 유지 관리
목차
필터 기준 (0)추가
필터 선택

          결과 없음
          결과 없음
          몇 가지 검색 팁

          키워드의 맞춤법을 확인하십시오.
          더 일반적인 검색 용어를 사용하십시오.
          필터 수를 줄여 검색 범위를 확장하십시오.

            전체 Salesforce 도움말 검색
            전체 Salesforce 도움말 검색
            콘텐츠 보안 정책(CSP) 지시문 렌더링

            위치:

            1. Salesforce 도움말
            2. 문서
            3. Salesforce 조직 설정 및 유지 관리

            콘텐츠 보안 정책(CSP) 지시문 렌더링

            CSP(콘텐츠 보안 정책) 지시문 렌더링을 활성화하면 Salesforce 조직이 Lightning 페이지에 리소스가 로드되는 방법에 대한 최신 보안 표준을 채택할 수 있습니다.

            제어 이름

            CSP 지시문 렌더링

            권장 구성

            • 덜 일반적인 브라우저에 CSP 지시문 적용
            • 업데이트된 CSP 지시문 채택

            설정>신뢰할 수 있는 URL>신뢰할 수 있는 새 URL>콘텐츠 보안 정책(CSP) 설정>CSP 지시문 |Lightning 구성 요소, 타사 API, WebSocket 연결이 이 신뢰할 수 있는 URL에서 로드할 수 있는 지시문을 선택합니다.

            제어 개요

            CSP(콘텐츠 보안 정책) 지시문 렌더링을 활성화하면 Salesforce 조직이 Lightning 페이지에 리소스가 로드되는 방법에 대한 최신 보안 표준을 채택할 수 있습니다.

            이 제어를 활성화하면 플랫폼이 신뢰할 수 있는 URL 허용 목록에서 명시적으로 승인되지 않은 외부 스크립트, 이미지 또는 iframe을 차단하여 크로스 사이트 스크립팅(XSS) 및 코드 삽입을 방지하는 엄격한 브라우저 수준 규칙을 적용합니다.

            구성되지 않은 경우 보안 위험

            CSP 지시문 렌더링이 없으면 조직에 크로스 사이트 스크립팅(XSS) 및 무단 데이터 추출에 대한 강력한 브라우저 수준 방어 기능이 없습니다.

            이 누락을 통해 악성 작업자가 확인되지 않은 스크립트를 실행하거나 Lightning 페이지 내에서 유해한 외부 리소스를 로드할 수 있습니다. 그러면 세션 쿠키 도난, 자격 증명 수집 또는 민감한 레코드 데이터의 조작이 잠재적으로 발생할 수 있습니다.

            위협 시나리오

            일반적인 위협 시나리오에서 공격자는 저장 또는 반영된 크로스 사이트 스크립팅(XSS) 공격을 실행하기 위해 취약한 필드 또는 URL 매개 변수에 악성 스크립트를 삽입하여 엄격한 CSP 적용 부재를 활용합니다.

            이러한 업데이트된 지시문이 없으면 브라우저에서 신뢰할 수 없는 외부 도메인에 인라인 또는 "전화 홈"으로 스크립트를 실행하도록 허용하여 공격자가 피해자의 활성 세션에서 작업하는 동안 중요한 레코드 데이터를 자동으로 추출하거나 실시간으로 사용자 입력을 캡처할 수 있습니다.

            예상 CVSS 점수 범위

            중요(9.0~10.0)

            위험 영향 고려 사항

            위험 영향에는 브라우저 수준 데이터 보호의 심각한 실패가 포함되며, 잠재적으로 공격자가 사용자 자격 증명을 훔치고, 중요한 레코드를 조작하고, 광범위한 데이터 추출을 유발할 수 있는 무단 코드를 실행할 수 있습니다.

            위험이 높은 경우

            Lightning 웹 보안(LWS) 또는 Lightning Locker 활성화 실패로 인한 증가된 위험은 전체 UI에서 데이터에 액세스하지 못하도록 방지하는 필수 네임스페이스 격리를 제거함으로써 위험을 크게 높입니다.

            또한 불필요한 "모든 데이터 보기" 권한을 부여하거나 인증되지 않은 게스트 사용자 API 액세스를 허용하는 등 약한 프로필 및 권한 집합 위생을 결합하면 공격자가 기본 XSS 취약성을 사용하여 권한을 빠르게 에스컬레이션하고 조직 전체 데이터베이스를 제거할 수 있는 "완벽한 폭풍"이 생성됩니다.

            낮은 위험 또는 비위험

            비활성화된 CSP 지시문 렌더링과 관련된 위험을 최소화하기 위해 구성 요소 네임스페이스를 격리하고 악성 스크립트가 UI의 다른 부분에서 데이터에 액세스하지 못하도록 방지하는 강력한 아키텍처 Sandbox를 제공하는 Lightning 웹 보안(LWS) 또는 Lightning Locker 사용하면 됩니다.

            또한 Salesforce Shield 이벤트 모니터링을 사용하면 비정상적인 데이터 추출 시도를 실시간으로 감지하고 차단할 수 있으므로 브라우저 수준 콘텐츠 제한이 완전히 적용되지 않은 경우에도 위협을 포착할 수 있는 심층적인 방어를 효과적으로 제공할 수 있습니다.

            비즈니스 및 통합 고려 사항

            CSP 지시문 렌더링을 구현하려면 허용 목록에 해당 외부 종속성을 추가하지 않으면 중요한 비즈니스 통합 및 UI 구성 요소가 중단되므로 모든 타사 스크립트, 이미지, iframe을 철저하게 감사하여 신뢰할 수 있는 URL 목록에 추가해야 합니다.

            권장 수정

            조직의 보안 표준에 부합하는 CSP 지시문을 활성화합니다.

            보안 상태 검토 지침

            보안 상태 검토는 CSP 지침을 포함한 신뢰할 수 있는 URL CSP 설정을 검사하여 Lightning 페이지에 리소스가 로드되는 방식에 대한 보안 표준에 부합합니다.

            다음 사항도 참조:

             
            로드 중
            Salesforce Help | Article