Du er her:
CORS-tillatelsesliste
Tillatelseslisten Salesforce CORS (Cross-Origin Resource Sharing) er en sikkerhetskontroll som gir administratorer mulighet til å angi klarerte, eksterne domener som er tillatt for å utføre forespørsler på tvers av opphav til Salesforce-APIer og -ressurser.
Navn på kontroll
CORS-tillatelsesliste
Anbefalt konfigurasjon
- Liste over tillatte opphav: Hvis du vil tillate at kode (som JavaScript) som kjører i en nettleser, kommuniserer med Salesforce fra et bestemt opphav, legger du til opphavet i den tillatte listen.
Oppsett>CORS>Ny>Origin URL Pattern.
Oversikt over kontroll
Tillatelseslisten Salesforce CORS (Cross-Origin Resource Sharing) er en sikkerhetskontroll som gir administratorer mulighet til å angi klarerte, eksterne domener som er tillatt for å utføre forespørsler på tvers av opphav til Salesforce-APIer og -ressurser. Ved å eksplisitt godkjenne bare disse opphavene, tillater plattformen nettlesere å samhandle sikkert med Salesforce-data fra eksterne programmer samtidig som alle uautoriserte tredjeparts domener blokkeres.
Sikkerhetsrisiko hvis ikke konfigurert
Mangelen på en riktig konfigurert Salesforce CORS-tillatelsesliste (Cross-Origin Resource Sharing) eksponerer organisasjonen for uautorisert datatilgang og sårbarheter for skripting på tvers av nettsteder (XSS) ved å tillate ikke-klarerte eksterne domener å starte forespørsler til Salesforce API-er eller Lightning.
Trusselscenarier
En angriper er vert for et skadelig nettsted som utfører et skript i nettleseren til en bruker som har en aktiv Salesforce-økt. I og med at CORS-tillatelseslisten er for tillatelsesrik eller feilkonfigurert, tillater nettleseren det skadelige nettstedet å utføre uautoriserte API-kall til Salesforce, slik at angriperen kan stille utfiltrere sensitive data eller utføre handlinger som den godkjente brukeren.
Beregnet CVSS Score-område
Kritisk (9.0–10.0).
Viktige punkter om risikoinnvirkning
Omfang for tilkoblet app eller ekstern klientapp.
Høyere risiko når
Risikoen for en ineffektiv CORS-tillatelsesliste forsterkes betydelig av manglende styring over tredjeparts programmer som deretter kan utnytte innstillinger for tillatt opphav til å skrape data.
I tillegg skaper en svak innholdssikkerhetspolicy (CSP) eller fraværet av Lightning Web Security en farlig synergi der skadelige skript lett kan lastes inn i brukergrensesnittet og deretter bruke de ineffektive CORS-grensene til å eksfiltrere sensitiv informasjon direkte fra brukerens nettleser.
Lav eller ingen risiko når
For å redusere risikoen for en ineffektiv CORS-tillatelsesliste bør organisasjoner implementere API-tilgangskontroll for å begrense hvilke tilkoblede apper og brukere som har tilgang til Salesforce-data, slik at bare autoriserte identiteter kan sende forespørsler uavhengig av opphav.
I tillegg gir en robust innholdssikkerhetspolicy (CSP) og Lightning Web Security (LWS) kritisk dybdeforsvar ved å begrense hvor nettleseren kan sende data og isolere komponenter for å hindre at skadelige skript får tilgang til økttokener eller utfører uautoriserte samtaler på tvers av opphav.
Viktige punkter om virksomheten og integrasjonen
Integrasjon med ekstern app, API-omfang.
Anbefalt rettelse
Aktiver CORS-tillatelseslisten, og se regelmessig gjennom konfigurasjonen.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering undersøker CORS-tillatelseslistene for å identifisere ineffektiv CORS-oppsett, som å tillate for tillatt CORS-opphav i listen.
