Vous êtes ici :
Contrôle de la protection de la stratégie de sécurité des contenus
Empêchez les utilisateurs de contourner les contrôles de sécurité lorsqu'ils visualisent des modèles dans Salesforce Classic avec Internet Explorer, et appliquez une infrastructure rigoureuse qui bloque l'exécution de scripts et de ressources non autorisés dans la plate-forme.
Nom du contrôle
Stratégie de sécurité des contenus
Configuration recommandée
- Désactivation de la restriction de remplacement de l'accès aux modèles d'e-mail dans Salesforce Classic en utilisant Internet Explorer
- Activer une stratégie de sécurité des contenus plus stricte
Configuration>Paramètres de session>Stratégie de sécurité des contenus>Activer une stratégie de sécurité des contenus plus stricte|Désactiver la restriction de remplacement sur l'accès aux modèles d'e-mail dans Salesforce Classic utilisant Internet Explorer.
Vue d'ensemble du contrôle
"Désactiver la restriction de remplacement sur l'accès aux modèles d'e-mail" empêche les utilisateurs de contourner les contrôles de sécurité lorsqu'ils visualisent des modèles dans Salesforce Classic en utilisant Internet Explorer, tandis que "Activer une stratégie de sécurité des contenus plus stricte" applique un cadre rigoureux qui bloque l'exécution des scripts et des ressources non autorisés dans la plate-forme. Ensemble, ils garantissent que les contenus confidentiels sont protégés contre les attaques basées sur l'exécution, quel que soit le choix du navigateur ou de l'interface de l'utilisateur.
Risque de sécurité s'il n'est pas configuré
En laissant ces protections désactivées, vous gardez essentiellement une « porte dérobée » ouverte pour les exploits Internet Explorer hérités qui peuvent contourner la sécurité des modèles d'e-mail et exécuter un code malveillant dans la session d'un utilisateur. De plus, sans CSP plus stricte, votre organisation ne dispose pas de la protection de sécurité à jour requise pour bloquer les attaques par script inter-site (XSS) sophistiquées, ce qui facilite considérablement le piratage de sessions ou la suppression silencieuse de données d'enregistrement confidentielles par des scripts non autorisés.
Scénarios de menace
Un assaillant exploite les vulnérabilités d'un navigateur hérité pour contourner les restrictions relatives aux modèles d'e-mail et exécuter une charge utile malveillante dans l'interface Salesforce Classic. Sans CSP plus stricte pour agir en tant que gardien, ce script est libre de « téléphoner à la maison » en exfiltrant des jetons de session ou des données d'enregistrement confidentielles vers un domaine externe, transformant ainsi une simple vue de page en violation de données automatisée et silencieuse.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'impact du risque est centré sur une violation critique de l'intégrité et de la confidentialité des données, car les assaillants peuvent tirer parti d'exploitations de navigateur héritées et de scripts inter-site pour pirater des sessions ou exfiltrer des informations confidentielles de l'entreprise.
Risque plus élevé quand
Au-delà des paramètres mentionnés, le risque est considérablement aggravé par la désactivation de Lightning Web Security (LWS) ou Lightning Locker, car cela retire l'isolation critique de l'espace de noms qui empêche un seul composant compromis d'accéder aux données dans toute votre interface utilisateur. De plus, des configurations incorrectes telles que l'autorisation de scripts « non sécurisés en ligne » dans vos URL approuvées CSP ou l'échec de l'implémentation du verrouillage de session IP et de la protection contre le détournement de clic créent un environnement dans lequel le piratage de session et les attaques « homme dans le navigateur » peuvent contourner l'authentification standard. De plus, des profils Utilisateur invité trop permissifs ou de larges autorisations « Afficher toutes les données » peuvent transformer une injection de script mineure en violation de données automatisée à grande échelle.
Risque faible ou nul
La transition de tous les utilisateurs vers Lightning Experience et les navigateurs modernes a un effet dissuasif principal en dépréciant efficacement les vecteurs d'attaque Salesforce Classic et Internet Explorer hérités. De plus, l'application automatique de l'authentification multifacteur (MFA) et des restrictions de plage IP approuvées ou LOgin garantit que même si une session est compromise via un script inter-site, elle ne peut pas être facilement militarisée à partir d'un appareil ou d'un emplacement non autorisé.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de ces contrôles nécessite un audit complet de l'utilisation héritée des navigateurs et des dépendances tierces, car des restrictions plus strictes de la CSP et des modèles peuvent perturber les composants Lightning personnalisés, les intégrations externes et les workflows hérités.
Remédiation recommandée
Mettez à jour les Paramètres de session pour activer la Stratégie de sécurité des contenus plus stricte.
Guide d'examen sanitaire de sécurité
Security Health Review inspecte les paramètres de session, y compris la CSP plus stricte, pour s'aligner sur les normes de sécurité relatives au chargement des ressources dans les pages Lightning.
