Usted estĆ” aquĆ:
Lista de admisiĆ³n de CORS
La lista de admisiĆ³n CORS (ComparticiĆ³n de recursos de origen cruzado) de Salesforce es un control de seguridad que permite a los administradores especificar dominios externos de confianza permitidos para realizar solicitudes de origen cruzado en recursos y API de Salesforce.
Nombre de control
Lista de admisiĆ³n de CORS
ConfiguraciĆ³n recomendada
- Lista de orĆgenes permitidos - Para permitir que el cĆ³digo (como JavaScript) que se ejecuta en un navegador Web se comunique con Salesforce desde un origen especĆfico, agregue el origen a la lista de permitidos.
ConfiguraciĆ³n>CORS>Nuevo>PatrĆ³n de URL de origen.
DescripciĆ³n general de control
La lista de admisiĆ³n CORS (ComparticiĆ³n de recursos de origen cruzado) de Salesforce es un control de seguridad que permite a los administradores especificar dominios externos de confianza permitidos para realizar solicitudes de origen cruzado en recursos y API de Salesforce. Al autorizar explĆcitamente solo estos orĆgenes, la plataforma permite a los navegadores web interactuar de forma segura con datos de Salesforce desde aplicaciones externas mientras bloquea todos los dominios externos no autorizados.
Riesgo de seguridad si no estĆ” configurado
La falta de una lista de admisiĆ³n de Salesforce CORS (ComparticiĆ³n de recursos de origen cruzado) configurada correctamente expone la organizaciĆ³n a vulnerabilidades de acceso a datos y secuencias de comandos de sitio cruzado (XSS) no autorizadas al permitir que dominios externos no de confianza inicien solicitudes en API de Salesforce o recursos Lightning.
Escenarios de amenazas
Un atacante aloja un sitio web malicioso que ejecuta una secuencia de comandos en el navegador de un usuario que tiene una sesiĆ³n de Salesforce activa. Debido a que la lista de admisiĆ³n de CORS es demasiado permisiva o estĆ” mal configurada, el navegador permite al sitio malicioso realizar llamadas de API no autorizadas a Salesforce, permitiendo al atacante exfiltrar datos confidenciales de forma silenciosa o realizar acciones como el usuario autenticado.
Intervalo de puntuaciĆ³n de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
AplicaciĆ³n conectada o Ć”mbito de aplicaciĆ³n cliente externa.
Riesgo mƔs alto cuando
El riesgo de una lista de admisiĆ³n de CORS ineficaz se amplifica significativamente por la falta de regulaciĆ³n sobre aplicaciones externas que luego pueden explotar la configuraciĆ³n de origen permisiva para raspar datos.
AdemĆ”s, una PolĆtica de seguridad de contenido (CSP) dĆ©bil o la ausencia de Lightning Web Security crea una sinergia peligrosa donde las secuencias de comandos maliciosas se pueden cargar fĆ”cilmente en la interfaz de usuario y luego utilizar los lĆmites de CORS ineficaces para exfiltrar informaciĆ³n confidencial directamente desde el navegador del usuario.
Riesgo bajo o nulo cuando
Para minimizar el riesgo de una lista de admisiĆ³n de CORS ineficaz, las organizaciones deben implementar el Control de acceso de API para restringir quĆ© aplicaciones y usuarios conectados pueden acceder a datos de Salesforce, garantizando que solo las identidades autorizadas puedan realizar solicitudes independientemente del origen.
AdemĆ”s, una sĆ³lida PolĆtica de seguridad de contenido (CSP) y Lightning Web Security (LWS) proporcionan una defensa crĆtica en profundidad restringiendo dĆ³nde puede enviar el navegador datos y aislando componentes para evitar que secuencias de comandos maliciosas accedan a tokens de sesiĆ³n o realicen llamadas cruzadas de origen no autorizadas.
Consideraciones comerciales y de integraciĆ³n
IntegraciĆ³n con aplicaciĆ³n externa, Ć”mbito de API.
RemediaciĆ³n recomendada
Active la lista de admisiĆ³n de CORS y revise periĆ³dicamente la configuraciĆ³n.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review inspecciona las listas de admisiĆ³n de CORS para ayudar a identificar una configuraciĆ³n de CORS ineficaz, como permitir un origen de CORS demasiado permisivo en la lista.
