Loading
Konfigurere og vedlikeholde Salesforce-organisasjonen
Innhold
Filtrer etter (0)Legg til
Velg filtre

          Ingen resultater
          Ingen resultater
          Her er noen søketips

          Kontroller stavemåten i søkeordene.
          Bruk mer generelle søkebegreper.
          Velg færre filtre for å utvide søket.

            Søk i all Salesforce Hjelp
            Søk i all Salesforce Hjelp
            Gjengivelse av innholdssikkerhetspolicydirektiv (CSP)

            Du er her:

            1. Salesforce Hjelp
            2. Dokumenter
            3. Konfigurere og vedlikeholde Salesforce-organisasjonen

            Gjengivelse av innholdssikkerhetspolicydirektiv (CSP)

            Ved å aktivere gjengivelse av CSP-direktiv (innholdssikkerhetspolicy) kan Salesforce-organisasjonen ta i bruk de nyeste og mest restriktive sikkerhetsstandardene for hvordan ressurser lastes inn på Lightning.

            Navn på kontroll

            Gjengivelse av CSP-direktiv

            Anbefalt konfigurasjon

            • Bruke CSP-direktiver for mindre vanlige nettlesere
            • Ta i bruk oppdaterte CSP-direktiver

            Oppsett>Trovert URL-adresse>Ny klarert URL-adresse>Innstillinger for innholdssikkerhetspolicy (CSP)>CSP-direktiver |Velg direktivene som Lightning, tredjeparts API-er og WebSocket-tilkoblinger kan laste fra denne klarerte URL-adressen.

            Oversikt over kontroll

            Ved å aktivere gjengivelse av CSP-direktiv (innholdssikkerhetspolicy) kan Salesforce-organisasjonen ta i bruk de nyeste og mest restriktive sikkerhetsstandardene for hvordan ressurser lastes inn på Lightning.

            Ved å aktivere denne kontrollen håndhever plattformen strenge regler på nettlesernivå som hindrer skripting på tvers av nettsteder (XSS) og kodeinnsetting, ved å blokkere eventuelle eksterne skript, bilder eller iframe-enheter som ikke har blitt eksplisitt godkjent i tillatelseslisten Klarerte URL-adresser.

            Sikkerhetsrisiko hvis ikke konfigurert

            Uten CSP-direktivgjengivelse mangler organisasjonen en robust beskyttelse på nettlesernivå mot skripting på tvers av nettsteder (XSS) og uautorisert datautfiltrering.

            Denne utelaten tillater ondsinnede aktører å utføre ikke-bekreftede skript eller laste skadelige eksterne ressurser på Lightning dine, noe som potensielt kan føre til tyveri av øktinformasjonskapsler, legitimasjonsfangst eller stille manipulering av sensitive postdata.

            Trusselscenarier

            I et typisk trusselscenario utnytter en angriper fraværet av streng CSP-håndhevelse ved å injisere et skadelig skript i et sårbart felt eller en URL-parameter for å utføre et Stored- eller Reflected Cross-Site Scripting (XSS)-angrep.

            Uten disse oppdaterte direktivene kan nettleseren tillate at skriptet utføres innebygd eller "telefonhjemmeside" til et ikke-klarert eksternt domene, slik at angriperen stille kan eksfiltrere sensitive postdata eller fange opp brukerinndata i sanntid mens den opererer under offerets aktive økt.

            Beregnet CVSS Score-område

            Kritisk (9.0–10.0).

            Viktige punkter om risikoinnvirkning

            Risikoinnvirkningen omfatter en kritisk feil i datasikringen på nettlesernivå, som potensielt tillater angripere å utføre uautorisert kode som kan stjele brukerlegitimasjon, manipulere sensitive poster og føre til omfattende datautfiltrering.

            Høyere risiko når

            Den økte risikoen ved å ikke aktivere Lightning Web Security (LWS) eller Lightning Locker øker risikoen betydelig, fordi den fjerner den grunnleggende navneområdeisolasjonen som hindrer at en enkelt kompromittert komponent får tilgang til data på tvers av hele brukergrensesnittet.

            Kombinasjon av svak profil- og tillatelsessetthygiene, som å gi unødvendige "Vis alle data"-rettigheter eller tillate ikke-godkjent gjestebruker-API-tilgang, skaper dessuten en "perfekt storm" der en angriper kan bruke en grunnleggende XSS-sårbarhet til raskt å eskalere rettigheter og eksfiltrere hele organisasjonens database.

            Lav eller ingen risiko når

            For å redusere risikoen forbundet med deaktivert gjengivelse av CSP-direktiv kan du stole på Lightning Web Security (LWS) eller Lightning Locker, som har en robust Sandbox-arkitektur som isolerer komponentnavneområder og hindrer skadelige skript fra å få tilgang til data i andre deler av grensesnittet.

            Ved å bruke Salesforce Shield Hendelsesovervåking kan du i tillegg oppdage og blokkere unormale forsøk på datautfiltrering i sanntid, noe som gir et dypt lag av forsvar som fanger opp trusler selv om innholdsrestriksjoner på nettlesernivå ikke håndheves fullt ut.

            Viktige punkter om virksomheten og integrasjonen

            Implementering av gjengivelse av CSP-direktiv krever en nøye revisjon av alle tredjeparts skript, bilder og iframe-enheter for å forsikre deg om at de legges til i listen over klarerte URL-adresser, fordi manglende å legge til disse eksterne avhengighetene i tillatelseslisten vil bryte kritiske forretningsintegrasjoner og grensesnittkomponenter.

            Anbefalt rettelse

            Aktiver CSP-direktiver som er i samsvar med sikkerhetsstandarder i organisasjonen.

            Veiledning for vurdering av sikkerhetstilstand

            Sikkerhetstilstandsvurdering undersøker CSP-innstillingene for klarerte URL-adresser, inkludert CSP-direktiver, for å samsvare med sikkerhetsstandarder for hvordan ressurser lastes inn på Lightning.

            Se også:

             
            Laster
            Salesforce Help | Article