Вы находитесь здесь:
Список разрешенных CORS
Список разрешенных Salesforce CORS (общий доступ к ресурсам с запросом происхождения) - это средство контроля безопасности, позволяющее администраторам указывать надежные внешние домены, разрешенные для выполнения запросов с запросом с запросом с запросом с запросом происхождения к Salesforce API и ресурсам.
Управление именем
Список разрешенных CORS
Рекомендованная конфигурация
- Список разрешенных источников - Чтобы разрешить коду (например, JavaScript), выполняемому в веб-обозревателе, взаимодействовать с Salesforce из определенного источника, добавьте источник к списку разрешенных.
Настройка>CORS>New>Схема URL-адреса происхождения.
Общие сведения о контроле
Список разрешенных Salesforce CORS (общий доступ к ресурсам с запросом происхождения) - это средство контроля безопасности, позволяющее администраторам указывать надежные внешние домены, разрешенные для выполнения запросов с запросом с запросом с запросом с запросом происхождения к Salesforce API и ресурсам. Явно авторизуя только эти источники, платформа позволяет веб-обозревателям безопасно взаимодействовать с данными Salesforce из внешних приложений, блокируя все несанкционированные сторонние домены.
Риск безопасности, если он не настроен
Отсутствие правильно настроенного списка разрешенных Salesforce CORS (общий доступ к ресурсам с запросом происхождения) подвергает организацию несанкционированному доступу к данным и уязвимостям межсайтового скриптинга (XSS), позволяя ненадежным внешним доменам инициировать запросы к Salesforce API или ресурсам Lightning.
Сценарии угроз
Злоумышленник размещает вредоносный веб-сайт, выполняющий сценарий в обозревателе пользователя, имеющего активный сеанс Salesforce. Поскольку список разрешенных CORS слишком нестрогий или некорректно настроен, обозреватель разрешает вредоносному сайту осуществлять несанкционированные вызовы API Salesforce, что позволяет взломщику негласно извлекать конфиденциальные данные или выполнять действия от имени проверенного пользователя.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Связанное приложение или область приложения внешнего клиента.
Повышенный риск при
Риск неэффективного списка разрешенных CORS значительно возрастает из-за отсутствия управления сторонними приложениями, которые потом могут использовать разрешительные параметры происхождения для удаления данных.
Кроме того, слабая политика безопасности содержимого (CSP) или отсутствие Lightning Web Security создает опасный синергизм, когда вредоносные сценарии можно легко загрузить в пользовательский интерфейс, а потом использовать неэффективные границы CORS для извлечения конфиденциальной информации напрямую из обозревателя пользователя.
Низкий или нулевой риск при
Чтобы минимизировать риск неэффективного списка разрешенных CORS, организации должны внедрить API-контроль доступа для ограничения доступа связанных приложений и пользователей к данным Salesforce, обеспечивая, что только авторизованные удостоверения могут отправлять запросы, вне зависимости от происхождения.
Кроме того, надежная политика безопасности содержимого (CSP) и Lightning Web Security (LWS) обеспечивают важную защиту глубоко, ограничивая область отправки данных обозревателем и изолируя компоненты, чтобы предотвратить доступ вредоносных сценариев к маркерам сеанса или несанкционированные вызовы перекрестного происхождения.
Рекомендации по бизнесу и интеграции
Интеграция с внешним приложением, API Scope.
Рекомендованное исправление
Включите список разрешенных CORS и периодически просматривайте конфигурацию.
Руководство по проверке состояния безопасности
Проверка состояния безопасности проверяет списки разрешенных CORS, чтобы определить неэффективную настройку CORS, например, разрешение чрезмерно мягкого происхождения CORS в списке.
