Usted estĆ” aquĆ:
Lista de admisiĆ³n de CORS
La lista de admisiĆ³n de Salesforce CORS (ComparticiĆ³n de recursos de origen cruzado) es un control de seguridad que permite a los administradores especificar dominios externos de confianza permitidos para realizar solicitudes de origen cruzado en recursos y API de Salesforce.
Nombre de control
Lista de admisiĆ³n de CORS
ConfiguraciĆ³n recomendada
- Lista de orĆgenes permitidos: Para permitir que el cĆ³digo (como JavaScript) que se ejecuta en un navegador Web se comunique con Salesforce desde un origen especĆfico, agregue el origen a la lista de permitidos.
ConfiguraciĆ³n>CORS>Nuevo>PatrĆ³n de URL de origen.
DescripciĆ³n general de control
La lista de admisiĆ³n de Salesforce CORS (ComparticiĆ³n de recursos de origen cruzado) es un control de seguridad que permite a los administradores especificar dominios externos de confianza permitidos para realizar solicitudes de origen cruzado en recursos y API de Salesforce. Al autorizar explĆcitamente solo estos orĆgenes, la plataforma permite a los navegadores web interactuar de forma segura con datos de Salesforce desde aplicaciones externas mientras bloquea todos los dominios externos no autorizados.
Riesgo de seguridad si no estĆ” configurado
La falta de una lista de admisiĆ³n de Salesforce CORS (ComparticiĆ³n de recursos de origen cruzado) configurada correctamente expone la organizaciĆ³n a vulnerabilidades de acceso a datos y secuencias de comandos de sitio cruzadas (XSS) no autorizadas permitiendo a dominios externos no de confianza iniciar solicitudes en API de Salesforce o recursos Lightning.
Escenarios de amenazas
Un atacante aloja un sitio web malicioso que ejecuta una secuencia de comandos en el navegador de un usuario que tiene una sesiĆ³n de Salesforce activa. Como la lista de admisiĆ³n de CORS es demasiado permisiva o estĆ” mal configurada, el navegador permite al sitio malicioso realizar llamadas de API no autorizadas a Salesforce, permitiendo al atacante exfiltrar datos confidenciales de forma silenciosa o realizar acciones como el usuario autenticado.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
AplicaciĆ³n conectada o Ćmbito de aplicaciĆ³n cliente externa.
Mayor riesgo cuando
El riesgo de una lista de admisiĆ³n de CORS ineficaz se amplifica significativamente por la falta de regulaciĆ³n sobre aplicaciones externas que pueden explotar la configuraciĆ³n de origen permisiva para eliminar datos.
AdemĆ”s, una PolĆtica de seguridad de contenidos (CSP) dĆ©bil o la ausencia de Seguridad web Lightning crea una sinergia peligrosa donde las secuencias de comandos maliciosas se pueden cargar fĆ”cilmente en la interfaz de usuario y luego utilizar los lĆmites de CORS ineficaces para exfiltrar informaciĆ³n confidencial directamente desde el navegador del usuario.
Bajo o ningĆŗn riesgo cuando
Para minimizar el riesgo de una lista de admisiĆ³n de CORS ineficaz, las organizaciones deben implementar Control de acceso de API para restringir quĆ© aplicaciones conectadas y usuarios pueden acceder a datos de Salesforce, garantizando que solo las identidades autorizadas pueden realizar solicitudes independientemente del origen.
AdemĆ”s, una sĆ³lida PolĆtica de seguridad de contenidos (CSP) y Seguridad web Lightning (LWS) proporcionan una defensa crĆtica en profundidad restringiendo dĆ³nde puede el navegador enviar datos y aislando componentes para evitar que secuencias de comandos maliciosas accedan a tokens de sesiĆ³n o realicen llamadas de origen cruzado no autorizadas.
Consideraciones de negocio e integraciĆ³n
IntegraciĆ³n con aplicaciĆ³n externa, Ćmbito de API.
RemediaciĆ³n recomendada
Active la lista de admisiĆ³n de CORS y revise periĆ³dicamente la configuraciĆ³n.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review inspecciona las listas de admisiĆ³n de CORS para ayudar a identificar configuraciones de CORS ineficaces, como permitir un origen de CORS demasiado permisivo en la lista.
