Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            Direktiv för återgivning av innehållssäkerhetspolicy (CSP)

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            Direktiv för återgivning av innehållssäkerhetspolicy (CSP)

            Att aktivera CSP-direktiv (innehållssäkerhetspolicy) låter din Salesforce-organisation använda de senaste, mest restriktiva säkerhetsstandarderna för hur resurser läses in på Lightning.

            Kontrollnamn

            CSP-direktivåtergivning

            Rekommenderad konfiguration

            • Tillämpa CSP-direktiv för mindre vanliga webbläsare
            • Anta uppdaterade CSP-direktiv

            Inställningar>Betrodda URL>Ny betrodd URL>Inställningar för innehållssäkerhetspolicy (CSP)>CSP-direktiv|Välj de direktiv som Lightning, API:n från tredje part och WebSocket-anslutningar kan läsa in från denna betrodda URL.

            Kontrollöversikt

            Att aktivera CSP-direktiv (innehållssäkerhetspolicy) låter din Salesforce-organisation använda de senaste, mest restriktiva säkerhetsstandarderna för hur resurser läses in på Lightning.

            Genom att aktivera denna kontroll tillämpar plattformen strikta regler på webbläsarnivå som förhindrar skript för flera webbplatser (XSS) och kodinjektion genom att blockera externa skript, bilder eller iframes som inte uttryckligen har auktoriserats i din tillåtelselista för betrodda URL:er.

            Säkerhetsrisk om den inte är konfigurerad

            Utan CSP-direktivåtergivning saknar din organisation ett robust försvar på webbläsarnivå mot Cross-Site Scripting (XSS) och oauktoriserad dataexfiltrering.

            Detta utelämnande låter skadliga aktörer köra ej verifierade skript eller läsa in skadliga externa resurser på dina Lightning, vilket kan leda till stöld av sessionscookies, autentiseringsstöld eller tyst manipulation av känsliga postdata.

            Hotscenarier

            I ett typiskt hotscenario utnyttjar en attackerare frånvaron av strikt tillämpning av CSP genom att injicera ett skadligt skript i ett sårbart fält eller URL-parameter för att utföra en attack med Lagrad eller Reflekterad Cross-Site Scripting (XSS).

            Utan dessa uppdaterade direktiv kan webbläsaren tillåta skriptet att köra direkt eller "telefonstart" till en opålitlig extern domän, vilket låter attackeraren tyst exfiltrera känsliga postdata eller samla in användarinmatning i realtid medan de arbetar under offrets aktiva session.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Riskpåverkan omfattar ett kritiskt fel i webbläsarnivå för dataskydd, vilket potentiellt låter attacker köra oauktoriserad kod som kan stjäla användaruppgifter, manipulera känsliga poster och orsaka omfattande dataexfiltrering.

            Högre risk när

            Risken ökar om Lightning Web Security (LWS) eller Lightning Locker inte aktiveras eftersom det tar bort den viktiga namnutrymmesisolering som förhindrar en enskild komprometterad komponent från att komma åt data i hela ditt användargränssnitt.

            Att kombinera svag profil- och behörighetsuppsättningshygien—som att bevilja onödiga "Visa alla data"-rättigheter eller tillåta ej inloggad gästanvändares API-åtkomst—skapar dessutom en "perfekt storm" där en attackerare kan använda en grundläggande XSS-sårbarhet för att snabbt flytta om behörigheter och exfiltrera organisationens hela databas.

            Låg eller ingen risk när

            För att minimera riskerna med inaktiverad CSP-direktivåtergivning kan du förlita dig på Lightning Web Security (LWS) eller Lightning Locker, som tillhandahåller en robust arkitektonisk sandbox som isolerar komponentnamnutrymmen och förhindrar skadliga skript från att komma åt data i andra delar av användargränssnittet.

            Att använda Salesforce Shield Event Monitoring låter dig upptäcka och blockera avvikande försök till dataexfiltrering i realtid, vilket effektivt ger ett djuplodande lager som fångar upp hot även om innehållsbegränsningar på webbläsarnivå inte tillämpas fullständigt.

            Att tänka på vad gäller affärer och integration

            Att implementera återgivning av CSP-direktiv kräver en noggrann granskning av alla skript, bilder och iframes från tredje part för att säkerställa att de läggs till i listan Betrodda URL:er, eftersom att inte lägga till dessa externa beroenden på tillåtelselistan kommer att förstöra viktiga verksamhetsintegreringar och användargränssnittkomponenter.

            Rekommenderad åtgärd

            Aktivera CSP-direktiv som överensstämmer med säkerhetsstandarder i organisationen.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning inspekterar CSP-inställningarna för betrodda URL:er, inklusive CSP-direktiv, för att följa säkerhetsstandarder för hur resurser läses in på Lightning.

            Se även:

             
            Laddar
            Salesforce Help | Article