Loading
Configurar e manter a sua organização do Salesforce
Índice
Filtrar por (0)Adicionar
Selecionar filtros

          Sem resultados
          Sem resultados
          Aqui estão algumas dicas de pesquisa

          Verifique a grafia das palavras-chave.
          Tente utilizar termos mais genéricos.
          Selecione menos filtros para ampliar sua pesquisa.

            Pesquisar em toda a Ajuda do Salesforce
            Pesquisar em toda a Ajuda do Salesforce
            Renderização de diretiva da Política de segurança de conteúdo (CSP)

            Você está aqui:

            1. Ajuda do Salesforce
            2. Documentação
            3. Configurar e manter a sua organização do Salesforce

            Renderização de diretiva da Política de segurança de conteúdo (CSP)

            Habilitar a Renderização de diretiva CSP (Política de segurança de conteúdo) permite que sua organização do Salesforce adote os padrões de segurança mais recentes e restritivos para como os recursos são carregados em páginas do Lightning.

            Nome do controle

            Renderização de diretiva de CSP

            Configuração recomendada

            • Aplicar diretivas de CSP a navegadores menos comuns
            • Adotar diretivas de CSP atualizadas

            Configuração>URL confiável>Novo URL confiável>Configurações da Política de segurança de conteúdo (CSP)>Diretivas da CSP |Selecione as diretivas que componentes do Lightning, APIs de terceiros e conexões do WebSocket podem carregar desse URL confiável.

            Visão geral de controle

            Habilitar a Renderização de diretiva CSP (Política de segurança de conteúdo) permite que sua organização do Salesforce adote os padrões de segurança mais recentes e restritivos para como os recursos são carregados em páginas do Lightning.

            Ao ativar esse controle, a plataforma impõe regras rígidas no nível do navegador que impedem o script entre sites (XSS) e a injeção de código, bloqueando scripts externos, imagens ou iframes que não tenham sido explicitamente autorizados em sua lista de permissões de URLs confiáveis.

            Risco de segurança, se não configurado

            Sem a Renderização de diretiva da CSP, sua organização não tem uma proteção robusta no nível do navegador contra o script entre sites (XSS) e a exfilação de dados não autorizada.

            Essa omissão permite que atores mal-intencionados executem scripts não verificados ou carreguem recursos externos prejudiciais em suas páginas do Lightning, o que pode levar ao roubo de cookies de sessão, coleta de credenciais ou manipulação silenciosa de dados de registro confidenciais.

            Cenários de ameaça

            Em um cenário de ameaça típico, um atacante explora a ausência de imposição de CSP rígida injetando um script mal-intencionado em um parâmetro de URL ou campo vulnerável para executar um ataque de script entre sites (XSS) armazenado ou refletido.

            Sem essas diretivas atualizadas, o navegador pode permitir que o script seja executado em linha ou "chamada inicial" para um domínio externo não confiável, permitindo que o invasor exfiltre silenciosamente dados de registro confidenciais ou capture a entrada do usuário em tempo real enquanto opera sob a sessão ativa da vítima.

            Intervalo de pontuação de CVSS estimado

            Crítico (9.0 a 10.0).

            Considerações sobre impacto de risco

            O impacto do risco engloba uma falha crítica na proteção de dados no nível do navegador, que pode permitir que os invasores executem código não autorizado que pode roubar credenciais do usuário, manipular registros confidenciais e causar exfiltração de dados generalizada.

            Risco maior quando

            O risco aumentado com a falha na ativação do Lightning Web Security (LWS) ou Lightning Locker aumenta significativamente o risco, pois elimina o isolamento essencial do namespace que impede que um único componente comprometido acesse dados em toda a interface do usuário.

            Além disso, a combinação de uma fraca higiene de Perfil e Conjunto de permissões, como conceder direitos desnecessários de "Visualizar todos os dados" ou permitir acesso à API de usuário convidado não autenticado, cria uma "tempestade perfeita" em que um invasor pode usar uma vulnerabilidade XSS básica para escalar rapidamente privilégios e exfiltrar todo o banco de dados da organização.

            Baixo ou Sem risco quando

            Para minimizar os riscos associados à renderização de diretiva de CSP desabilitada, você pode contar com o Lightning Web Security (LWS) ou Lightning Locker, que fornecem um robusto sandbox de arquitetura que isola os namespaces de componentes e impede que scripts mal-intencionados acessem dados em outras partes da interface do usuário.

            Além disso, o uso do Monitoramento de evento do Salesforce Shield permite detectar e bloquear tentativas de exfiltração de dados anômalas em tempo real, proporcionando efetivamente uma camada de defesa profunda que captura ameaças mesmo que as restrições de conteúdo no nível do navegador não sejam totalmente aplicadas.

            Considerações de negócios e integração

            A implementação da Renderização de diretiva da CSP requer uma auditoria meticulosa de todos os scripts, imagens e iframes de terceiros para garantir que eles sejam adicionados à lista de URLs confiáveis, pois a falha em adicionar essas dependências externas à lista de permissões interromperá as integrações essenciais de negócios e componentes da interface do usuário.

            Remediação recomendada

            Habilite Diretivas de CSP que estejam alinhadas aos padrões de segurança na organização.

            Diretriz de revisão de saúde de segurança

            A Análise de integridade da segurança inspeciona as configurações de CSP de URLs confiáveis, incluindo Diretivas de CSP, para se alinhar às normas de segurança sobre como os recursos são carregados em páginas do Lightning.

            Consulte também:

             
            Carregando
            Salesforce Help | Article