Sie befinden sich hier:
Schutzsteuerung für Inhaltsüberprüfung
Damit Browser Dateien nicht fälschlicherweise als ausführbare Skripts interpretieren, sollten Salesforce-Administratoren im Menü "Sitzungseinstellungen" die Option "Schutz vor Inhaltsüberprüfung aktivieren" aktivieren.
Steuerelementname
Schutz vor Inhaltsüberprüfung
Empfohlene Konfiguration
- Schutz vor Inhaltsermittlung aktivieren
Setup>Sitzungseinstellungen>Schutz vor Inhaltsüberprüfung.
Steuerelementübersicht
Um zu verhindern, dass Browser Dateien fälschlicherweise als ausführbare Skripts interpretieren, sollten Salesforce-Administratoren im Menü "Sitzungseinstellungen" die Option "Schutz vor Inhaltsüberprüfung aktivieren" aktivieren, um die X-Inhaltstyp-Optionen zu erzwingen: Nosniff-Kopfzeile.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn Sie den Schutz vor Inhaltsüberprüfung nicht aktivieren, können Browser den deklarierten Dateityp des Servers ignorieren und den MIME-Typ anhand des Inhalts einer Datei "erraten", wodurch eine Sicherheitslücke entsteht, bei der ein Browser eine harmlos aussehende Datei (wie eine Bild- oder Textdatei) als bösartiges Skript ausführen kann. Diese Übersicht erhöht das Risiko von Cross-Site Scripting (XSS) und Drive-by-Download-Angriffen erheblich.
Bedrohungsszenarien
Ein Angreifer lädt eine bösartige JavaScript-Nutzlast, die als harmlose PNG- oder TXT-Datei getarnt ist, in einen Salesforce-Kundenvorgang oder ein Experience Cloud-Portal hoch. Ohne aktivierten Schutz gegen Inhaltsschnüffelung "schätzt" der Browser eines ahnungslosen Benutzers die wahre Natur der Datei und führt das ausgeblendete Skript aus, wodurch der Angreifer die aktiven Sitzungscookies des Benutzers stillschweigend stehlen und sensible Daten exfiltrieren kann.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
ENTFÄLLT
Höheres Risiko, wenn
Das Risiko des MIME-Sniffings wird durch das Fehlen einer robusten Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) erheblich verschärft, die andernfalls als sekundäre Abwehrmaßnahme dienen würde, um die Ausführung nicht autorisierter Skripts zu blockieren.
Geringes oder kein Risiko, wenn
Organisationen sollten eine strenge Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) implementieren, die explizit die Ausführung nicht autorisierter oder Inline-Skripts blockiert und als sekundäre Firewall gegen "gesniffte" Nutzlasten fungiert, um den fehlenden Schutz vor Inhaltssniffs auszugleichen.
Durch die Bereitstellung von automatisierter Malware und das Scannen von Dateitypen für alle Uploads wird zudem sichergestellt, dass bösartige Dateien – Skripts, die als Bilder getarnt sind – abgefangen und neutralisiert werden, bevor ein Browser sie jemals falsch interpretieren kann.
Überlegungen zu Unternehmen und Integration
ENTFÄLLT
Empfohlene Sanierung
Aktivieren Sie den Schutz vor Inhaltsschnüffelung.
Anleitung zur Sicherheitsintegritätsprüfung
Bei der Sicherheitsintegritätsprüfung wird die Konfiguration der Sitzungseinstellungen überprüft, um sicherzustellen, dass der Schutz vor Inhaltsüberprüfungen aktiviert ist und mit den bewährten Vorgehensweisen der Branche übereinstimmt.
