Olet tässä:
CORS-sallittujen luettelo
Salesforce CORS (Cross-Origin Resource Sharing) -sallittujen toimialueiden luettelo on suojausasetus, jonka avulla pääkäyttäjät voivat määrittää luotettuja ulkoisia toimialueita, jotka voivat suorittaa cross-origin pyyntöjä Salesforce API -rajapintoihin ja -resursseihin.
Ohjaimen nimi
CORS-sallittujen luettelo
Suositeltu kokoonpano
- Sallitut alkuperät -luettelo – Jos haluat sallia verkkoselaimella suoritettavan koodin (kuten JavaScriptin) kommunikoida Salesforcen kanssa tietystä alkuperästä, lisää alkuperä sallittuun luetteloon.
Määritykset>CORS>Uusi>Alkuperän URL-kuvio.
Ohjauksen yleiskatsaus
Salesforce CORS (Cross-Origin Resource Sharing) -sallittujen toimialueiden luettelo on suojausasetus, jonka avulla pääkäyttäjät voivat määrittää luotettuja ulkoisia toimialueita, jotka voivat suorittaa cross-origin pyyntöjä Salesforce API -rajapintoihin ja -resursseihin. Alusta sallii verkkoselaimien työstää Salesforce-dataa turvallisesti ulkoisista sovelluksista estämällä kaikkia valtuuttamattomia kolmansien osapuolten toimialueita valtuuttamalla vain nämä alkuperät erikseen.
Tietoturvariski, jos ei määritetty
Oikein määritetyn Salesforce CORS (Cross-Origin Resource Sharing) -allowlist-luettelon puute paljastaa organisaation valtuuttamattomalle datan käytölle ja sivustojen väliselle komentosarjojen (XSS) haavoittuvuudelle sallimalla luottamattomien ulkoisten toimialueiden käynnistää pyyntöjä Salesforce API -rajapintoihin tai Lightning.
Uhkien skenaariot
Hyökkääjä isännöi haitallista verkkosivustoa, joka suorittaa komentosarjan aktiivisen Salesforce-istunnon käyttäjän selaimessa. Koska CORS-luettelo on liian sallittu tai määritetty väärin, selain sallii haitallisen sivuston tehdä valtuuttamattomia API-kutsuja Salesforceen, jolloin hyökkääjä voi hiljaa suodattaa luottamuksellisia tietoja tai suorittaa toimintoja todennettuna käyttäjänä.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Yhdistetyn sovelluksen tai ulkoisen asiakassovelluksen vaikutusalue.
Korkeampi riski, kun
Virheellisen CORS-allowlist-luettelon riski on merkittävästi suurempi, kun kolmannen osapuolen sovelluksia ei hallita, jotka voivat sitten hyödyntää sallittuja alkuperäasetuksia datan kaappaamiseen.
Lisäksi heikko Content Security Policy (CSP) tai Lightning Web Security -ominaisuuden puuttuminen luo vaarallisen synergian, jossa haitalliset komentosarjat voidaan ladata helposti käyttöliittymään ja käyttää sitten tehottomia CORS-rajoituksia suodattaakseen luottamuksellisia tietoja suoraan käyttäjän selaimesta.
Matala riski tai ei riskiä, kun
Organisaatioiden tulisi ottaa käyttöön API-käyttöoikeuksien hallinta -ominaisuus rajoittaakseen, mitkä yhdistetyt sovellukset ja käyttäjät voivat käyttää Salesforce-dataa, jotta vain valtuutetut henkilöt voivat tehdä pyyntöjä alkuperästä riippumatta.
Lisäksi vahva sisällön suojauskäytäntö (CSP) ja Lightning Web Security (LWS) tarjoavat kriittisen syvällisen puolustuksen rajoittamalla, mihin selain voi lähettää tietoja ja eristämällä komponentteja estääkseen haitallisia komentosarjoja käyttämästä istuntovaltuuksia tai tekemästä valtuuttamattomia ristiinlähteitä.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Integraatio ulkoisen sovelluksen kanssa, API Scope.
Suositeltu korjaus
Ota CORS-luettelo käyttöön ja tarkasta kokoonpano säännöllisesti.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tarkastaa CORS-luettelot tunnistaakseen tehottomat CORS-määritykset, kuten sallitaksesi liikaa CORS-lähdettä luettelossa.
