breadcrumbDescription
CORS-tilladelsesliste
Salesforce CORS-tilladelseslisten (Cross-Origin Resource Sharing) er en sikkerhedskontrol, der gør det muligt for administratorer at angive betroede eksterne domæner, der er tilladt at udføre krydsoprindelsesanmodninger til Salesforce-API'er og -ressourcer.
Kontrolnavn
CORS-tilladelsesliste
Anbefalet konfiguration
- Liste over tilladte oprindelser – Hvis du vil tillade kode (f.eks. JavaScript), der kører i en webbrowser, til at kommunikere med Salesforce fra en bestemt oprindelse, skal du føje oprindelsen til den tilladte liste.
Opsætning>CORS>Ny>Oprindelses-URL-mønster.
Kontroller oversigt
Salesforce CORS-tilladelseslisten (Cross-Origin Resource Sharing) er en sikkerhedskontrol, der gør det muligt for administratorer at angive betroede eksterne domæner, der er tilladt at udføre krydsoprindelsesanmodninger til Salesforce-API'er og -ressourcer. Ved eksplicit at autorisere kun disse oprindelser tillader platformen, at webbrowsere interagerer sikkert med Salesforce-data fra eksterne applikationer, mens de blokerer alle uautoriserede tredjepartsdomæner.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Manglen på en korrekt konfigureret Salesforce CORS-tilladelsesliste (Cross-Origin Resource Sharing) udsætter organisationen for uautoriseret dataadgang og XSS-sårbarheder (cross-site scripting) ved at tillade, at usikrede eksterne domæner starter anmodninger til Salesforce-API'er eller Lightning.
Trusselscenarier
En angriber er vært for et ondsindet website, der kører et script i browseren for en bruger, der har en aktiv Salesforce-session. Da CORS-tilladelseslisten er overdrevent tilladende eller forkert konfigureret, tillader browseren den ondsindede lokalitet at foretage uautoriserede API-kald til Salesforce, hvilket tillader angriberen at udfiltrere følsomme data eller udføre handlinger som den godkendte bruger.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Anvendelsesområde for tilsluttet app eller ekstern klientapp.
Højere risiko når
Risikoen for en ineffektiv CORS-tilladelsesliste forstærkes væsentligt af manglende styring over tredjepartsapplikationer, der derefter kan udnytte indstillinger for tilladelsesoprindelse til at scrape data.
Desuden skaber en svag indholdssikkerhedspolitik (CSP) eller fraværet af Lightning Web Security en farlig synergi, hvor ondsindede scripts nemt kan indlæses i brugergrænsefladen og derefter bruge de ineffektive CORS-grænser til at udfiltrere følsomme oplysninger direkte fra brugerens browser.
Lav eller ingen risiko når
Hvis du vil minimere risikoen for en ineffektiv CORS-tilladelsesliste, skal organisationer implementere API-adgangskontrol for at begrænse, hvilke tilsluttede apps og brugere der kan få adgang til Salesforce-data, så du sikrer, at kun autoriserede identiteter kan foretage anmodninger, uanset oprindelsen.
Desuden giver en robust indholdssikkerhedspolitik (CSP) og Lightning Web Security (LWS) kritisk dybdegående forsvar ved at begrænse, hvor browseren kan sende data og isolere komponenter for at forhindre ondsindede scripts i at få adgang til sessionstokener eller foretage uautoriserede krydsoprindelsesopkald.
Overvejelser i forbindelse med forretning og integration
Integration med ekstern app, API-omfang.
Anbefalet rettelse
Aktiver CORS-tilladelseslisten, og gennemse konfigurationen regelmæssigt.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck undersøger CORS-tilladelseslister for at hjælpe med at identificere ineffektiv CORS-opsætning, f.eks. tilladelse af overdrevent tilladende CORS-oprindelse på listen.
