Você está aqui:
Proteção de detecção de conteúdo
Para evitar que os navegadores interpretem incorretamente arquivos como scripts executáveis, os administradores do Salesforce devem habilitar "Ativar proteção contra detecção de conteúdo" no menu Configurações da sessão.
Nome do controle
Proteção de detecção de conteúdo
Configuração recomendada
- Ativar proteção de detecção de conteúdo
Configuração>Configurações da sessão>Proteção contra detecção de conteúdo.
Visão geral de controle
Para evitar que os navegadores interpretem incorretamente arquivos como scripts executáveis, os administradores do Salesforce devem habilitar "Habilitar proteção contra detecção de conteúdo" no menu Configurações da sessão para aplicar as opções X-Content-Type-Options: cabeçalho nosniff.
Risco de segurança, se não configurado
Não habilitar a Proteção de detecção de conteúdo permite que os navegadores ignorem o tipo de arquivo declarado do servidor e "adivinhem" o tipo MIME com base no conteúdo de um arquivo, criando uma vulnerabilidade em que um navegador pode executar um arquivo com aparência inofensiva (como um arquivo de imagem ou texto) como um script mal-intencionado. Essa supervisão aumenta significativamente o risco de ataques de script entre sites (XSS) e download de drive-by.
Cenários de ameaça
Um invasor carrega uma carga útil JavaScript mal-intencionada disfarçada de um arquivo .png ou .txt inofensivo em um portal do Experience Cloud ou caso do Salesforce. Sem a proteção de detecção de conteúdo habilitada, o navegador de um usuário que não suspeita "adivinha" a verdadeira natureza do arquivo e executa o script oculto, permitindo que o invasor roube silenciosamente os cookies de sessão ativa do usuário e exfiltre dados confidenciais.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
N/A
Risco maior quando
O risco de detecção de MIME é significativamente agravado pela falta de uma política de segurança de conteúdo (CSP) robusta, que, caso contrário, serviria como uma defesa secundária para bloquear a execução de scripts não autorizados.
Baixo ou Sem risco quando
Para compensar a ausência de proteção contra detecção de conteúdo, as organizações devem implementar uma política de segurança de conteúdo (CSP) rígida que bloqueie explicitamente a execução de scripts não autorizados ou em linha, atuando como um firewall secundário contra cargas úteis "deteccionadas".
Além disso, implementar o software mal-intencionado automatizado e a varredura de tipo de arquivo para todos os carregamentos garante que arquivos mal-intencionados (scripts disfarçados de imagens) sejam interceptados e neutralizados antes que um navegador tenha a chance de interpretá-los incorretamente.
Considerações de negócios e integração
N/A
Remediação recomendada
Habilite a proteção de detecção de conteúdo.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança inspeciona os ajustes de Configurações de sessão para verificar se a Proteção de detecção de conteúdo está habilitada, de acordo com as práticas recomendadas do setor.
