Du är här:
CORS-tillåtelselista
Tillåtelselistan Salesforce CORS (Cross-Origin Resource Sharing) är en säkerhetskontroll som låter administratörer specificera betrodda externa domäner som tillåts utföra korsursprungsbegäranden till Salesforce API:n och resurser.
Kontrollnamn
CORS-tillåtelselista
Rekommenderad konfiguration
- Lista över tillåtna ursprung - För att låta kod (som JavaScript) som körs i en webbläsare kommunicera med Salesforce från ett specifikt ursprung, lägg till ursprunget i listan över tillåtna.
Inställningar>CORS>Ny>Ursprungligt URL-mönster.
Kontrollöversikt
Tillåtelselistan Salesforce CORS (Cross-Origin Resource Sharing) är en säkerhetskontroll som låter administratörer specificera betrodda externa domäner som tillåts utföra korsursprungsbegäranden till Salesforce API:n och resurser. Genom att uttryckligen endast auktorisera dessa ursprung låter plattformen webbläsare säkert interagera med Salesforce-data från externa program och samtidigt blockera alla oauktoriserade tredjepartsdomäner.
Säkerhetsrisk om den inte är konfigurerad
Avsaknaden av en korrekt konfigurerad Salesforce CORS-tillåtelselista (Cross-Origin Resource Sharing) utsätter organisationen för oauktoriserad dataåtkomst och sårbarheter i skript för flera webbplatser (XSS) genom att låta opålitliga externa domäner inleda begäranden till Salesforce API eller Lightning.
Hotscenarier
En attackerare är värd för en skadlig webbplats som kör ett skript i webbläsaren för en användare som har en aktiv Salesforce-session. Eftersom CORS-tillåtelselistan är alltför tillåtande eller felkonfigurerad låter webbläsaren den skadliga webbplatsen göra oauktoriserade API-anrop till Salesforce, vilket låter attackeraren tyst filtrera känsliga data eller utföra åtgärder som den autentiserade användaren.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Omfattning av ansluten app eller extern klientapp.
Högre risk när
Risken för en ineffektiv CORS-tillåtelselista förstärks avsevärt av en brist på styrning över tredjepartsprogram som sedan kan utnyttja tillåtelseursprungsinställningar för att skrapa data.
Dessutom skapar en svag innehållssäkerhetspolicy (CSP) eller frånvaron av Lightning Web Security en farlig synergi där skadliga skript enkelt kan läsas in i användargränssnittet och sedan använda de ineffektiva CORS-gränserna för att filtrera känslig information direkt från användarens webbläsare.
Låg eller ingen risk när
För att minimera risken för en ineffektiv CORS-tillåtelselista bör organisationer implementera API-åtkomstkontroll för att begränsa vilka anslutna appar och användare som kan komma åt Salesforce-data, vilket säkerställer att endast auktoriserade identiteter kan göra begäranden oavsett ursprung.
Dessutom ger en robust innehållsäkerhetspolicy (CSP) och Lightning Web Security (LWS) ett viktigt djupförsvar genom att begränsa var webbläsaren kan skicka data och isolera komponenter för att förhindra skadliga skript från att komma åt sessionstokens eller göra oauktoriserade korsursprungsanrop.
Att tänka på vad gäller affärer och integration
Integrering med extern app, API-omfång.
Rekommenderad åtgärd
Aktivera CORS-tillåtelselista och granska regelbundet konfigurationen.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning inspekterar CORS-tillåtelselistorna för att hjälpa till att identifiera ineffektiv CORS-konfiguration, till exempel att tillåta alltför tillåtande CORS-ursprung i listan.
