Loading
Säkra din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            Skydd för innehållssniffning

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Säkra din Salesforce-organisation

            Skydd för innehållssniffning

            För att förhindra att webbläsare felaktigt tolkar filer som körbara skript ska Salesforce-administratörer aktivera "Aktivera skydd för innehållssniffning" i menyn Sessionsinställningar.

            Kontrollnamn

            Innehållssniffningsskydd

            Rekommenderad konfiguration

            • Aktivera skydd för innehållssniffning

            Inställningar>Sessionsinställningar>Innehållssniffningsskydd.

            Kontrollöversikt

            För att förhindra att webbläsare felaktigt tolkar filer som körbara skript ska Salesforce-administratörer aktivera "Aktivera skydd för innehållssniffning" i menyn Sessionsinställningar för att tillämpa X-Content-Type-Options: nosniffrubrik.

            Säkerhetsrisk om den inte är konfigurerad

            Att inte aktivera skydd för innehållssniffning låter webbläsare ignorera serverns deklarerade filtyp och "gissa" MIME-typen baserat på en fils innehåll, vilket skapar en sårbarhet där en webbläsare kan köra en ofarlig fil (som en bild- eller textfil) som ett skadligt skript. Denna översyn ökar avsevärt risken för Cross-Site Scripting (XSS) och drive-by download-attacker.

            Hotscenarier

            En attackerare laddar upp en skadlig JavaScript-belastning förklädd till en ofarlig .png- eller .txt-fil till en Salesforce Case- eller Experience Cloud-portal. Utan innehållssniffningsskydd aktiverat "gissar" en intet ont anande användares webbläsare filens sanna natur och kör det dolda skriptet, vilket låter attackeraren stjäla användarens aktiva sessionscookies och filtrera känsliga data.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Saknas

            Högre risk när

            Risken för MIME-sniffning förvärras avsevärt av att det saknas en robust innehållsäkerhetspolicy (CSP), som annars skulle fungera som ett sekundärt försvar för att blockera utförandet av oauktoriserade skript.

            Låg eller ingen risk när

            För att kompensera frånvaron av innehållssniffningsskydd bör organisationer implementera en strikt innehållsäkerhetspolicy (CSP) som uttryckligen blockerar utförandet av oauktoriserade eller inbäddade skript, som fungerar som en sekundär brandvägg mot "sniffade" belastningar.

            Att distribuera automatiserad malware och filtypsskanning för alla uppladdningar säkerställer även att skadliga filer — skript förklädda till bilder — fångas upp och neutraliseras innan en webbläsare någonsin har chansen att misstolka dem.

            Att tänka på vad gäller affärer och integration

            Saknas

            Rekommenderad åtgärd

            Aktivera skydd för innehållssniffning.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning inspekterar konfigurationen för sessionsinställningar för att verifiera att skydd för innehållssniffning har aktiverats, i enlighet med branschens rekommenderade praxis.

            Se även:

             
            Laddar
            Salesforce Help | Article