Loading
Uw Salesforce-organisatie instellen en onderhouden
Inhoudsopgave
Filteren op (0)Toevoegen
Filters selecteren

          Geen resultaten
          Geen resultaten
          Hier zijn enkele zoektips

          Controleer de spelling van uw trefwoorden.
          Gebruik meer algemene zoektermen.
          Verwijder filters om uw zoekopdracht uit te breiden.

            De Help van Salesforce volledig doorzoeken
            De Help van Salesforce volledig doorzoeken
            Richtlijnweergave Content Security Policy (CSP)

            U bent hier:

            1. Help van Salesforce
            2. Documenten
            3. Uw Salesforce-organisatie instellen en onderhouden

            Richtlijnweergave Content Security Policy (CSP)

            Als u CSP (Content Security Policy) Directive Rendering inschakelt, kan uw Salesforce-organisatie de nieuwste, meest beperkende beveiligingsnormen hanteren voor de manier waarop resources op Lightning pagina's worden geladen.

            Controlenaam

            CSP-richtlijnweergave

            Aanbevolen configuratie

            • CSP-instructies toepassen voor minder gangbare browsers
            • Bijgewerkte CSP-instructies aannemen

            Set-up>Vertrouwde URL>Nieuwe vertrouwde URL>Instellingen voor Content Security Policy (CSP)>CSP-richtlijnen|Selecteer de richtlijnen die Lightning componenten, externe API's en WebSocket-verbindingen kunnen laden vanuit deze vertrouwde URL.

            Overzicht van besturingselementen

            Als u CSP (Content Security Policy) Directive Rendering inschakelt, kan uw Salesforce-organisatie de nieuwste, meest beperkende beveiligingsnormen hanteren voor de manier waarop resources op Lightning pagina's worden geladen.

            Door deze controle te activeren, dwingt het platform strenge regels op browserniveau af die cross-site scripting (XSS) en code-injectie voorkomen door externe scripts, afbeeldingen of iframes te blokkeren die niet expliciet zijn geautoriseerd in uw goedgekeurde lijst Vertrouwde URL's.

            Beveiligingsrisico indien niet geconfigureerd

            Zonder CSP-richtlijnweergave beschikt uw organisatie niet over een robuuste verdediging op browserniveau tegen Cross-Site Scripting (XSS) en ongeoorloofde gegevensexfiltratie.

            Door dit weglaten kunnen kwaadwillende actoren niet-geverifieerde scripts uitvoeren of schadelijke externe resources laden binnen uw Lightning pagina's, wat mogelijk kan leiden tot diefstal van sessiecookies, het verzamelen van inloggegevens of de stille manipulatie van gevoelige recordgegevens.

            Dreigingsscenario's

            In een normaal dreigingsscenario maakt een aanvaller gebruik van de afwezigheid van strikte CSP-afdwinging door een kwaadwillig script in een kwetsbaar veld of een kwetsbare URL-parameter te injecteren om een XSS-aanval (Stored or Reflected Cross-Site Scripting) uit te voeren.

            Zonder deze bijgewerkte instructies kan de browser het script toestaan om inline of "phone home" uit te voeren naar een niet-vertrouwd extern domein, waardoor de aanvaller in stilte gevoelige recordgegevens kan exfiltreren of gebruikersinvoer in real-time kan vastleggen terwijl deze onder de actieve sessie van het slachtoffer werkt.

            Geschatte CVSS-scorebereik

            Kritiek (9,0–10,0).

            Overwegingen bij risico-impact

            De risico-impact omvat een kritieke fout in de gegevensbescherming op browserniveau, waardoor aanvallers mogelijk ongeautoriseerde code kunnen uitvoeren die gebruikersgegevens kan stelen, gevoelige records kan manipuleren en wijdverspreide gegevensexfiltratie kan veroorzaken.

            Hoger risico wanneer

            Het risico neemt toe door het niet inschakelen van Lightning Web Security (LWS) of Lightning Locker, omdat het de essentiële naamruimte-isolatie verwijdert die voorkomt dat één gecompromitteerde component toegang heeft tot gegevens binnen uw gehele UI.

            Bovendien leidt het combineren van zwakke hygiëne voor profielen en machtigingensets—zoals het verlenen van onnodige "Alle gegevens weergeven"-rechten of het toestaan van niet-geauthenticeerde toegang tot de Guest User API—tot een "perfecte storm" waarbij een aanvaller een basale XSS-kwetsbaarheid kan gebruiken om machtigingen snel te escaleren en de gehele database van de organisatie te exfiltreren.

            Laag of geen risico wanneer

            Om de risico's van uitgeschakelde CSP-richtlijnweergave te minimaliseren, kunt u vertrouwen op Lightning Web Security (LWS) of Lightning Locker, die een robuuste architectonische sandbox bieden die componentnaamruimten isoleert en voorkomt dat kwaadwillende scripts toegang krijgen tot gegevens in andere delen van de UI.

            Daarnaast kunt u met behulp van Salesforce Shield Event Monitoring abnormale pogingen tot gegevensexfiltratie in real-time detecteren en blokkeren, wat in feite een diepgaande verdediging biedt die bedreigingen opvangt, zelfs als inhoudsbeperkingen op browserniveau niet volledig worden afgedwongen.

            Overwegingen bij bedrijf en integratie

            Het implementeren van CSP-richtlijnweergave vereist een zorgvuldige controle van alle scripts, afbeeldingen en iframes van derden om ervoor te zorgen dat ze worden toegevoegd aan de lijst Vertrouwde URL's, aangezien het niet toevoegen van deze externe afhankelijkheden aan de goedgekeurde lijst kritieke bedrijfsintegraties en UI-componenten kan breken.

            Aanbevolen oplossing

            Schakel CSP-richtlijnen in die overeenkomen met beveiligingsnormen in de organisatie.

            Begeleiding bij beoordeling van beveiligingstoestand

            Beoordeling van beveiligingstoestand inspecteert de CSP-instellingen van vertrouwde URL's, inclusief CSP-richtlijnen, om ze af te stemmen op beveiligingsnormen voor de manier waarop resources worden geladen op Lightning pagina's.

            Zie ook:

             
            Wordt geladen
            Salesforce Help | Article