跨来源安全标题

控件名称

跨来源安全性

推荐配置

• 启用跨来源打开器策略 (COOP)
• 启用跨来源嵌入器策略 (COEP)

设置>会话设置>启用跨来源打开器策略 (COOP)|跨来源嵌入器策略 (COEP)。

控制概览

在 Salesforce 会话设置中启用跨来源打开器策略 (COOP) 和跨来源嵌入器策略 (COEP) 是一种安全控制，通过将页面的浏览上下文与外部窗口隔离，并要求所有嵌入资源通过 CORS 标题明确选择加入，来建立“跨来源隔离”的环境。这可以防止恶意跨来源文档与您的 Salesforce 页面交互，或使用幽灵等侧渠道攻击从浏览器内存中泄露敏感数据。

安全风险（如果未配置）

不启用跨来源打开器策略 (COOP) 和跨来源嵌入器策略 (COEP) 会使浏览器会话受到 Spectre 类型的侧渠道攻击，恶意站点可能会直接从浏览器的进程内存中读取敏感数据，例如会话令牌或记录详细信息。

威胁场景

当用户的 Salesforce 会话在另一个浏览器中处于活动状态时，用户访问了一个浏览器选项卡中的恶意网站，使得攻击者能够利用进程级隔离的不足。然后，恶意站点可以使用 Spectre 等侧渠道技术直接从浏览器的共享内存中静默读取敏感数据，例如会话令牌或专用记录详细信息。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

不实施这些控制会产生巨大的运营风险，因为这会使组织容易受到通过恶意跨源窗口进行的数据泄露的攻击，而反过来，在没有正确测试的情况下突然启用可能会破坏关键的第三方集成、iframes 和基于 OAuth 的身份验证流。

高风险

由于缺乏强大的内容安全策略 (CSP) 和缺少跨来源资源策略 (CORP) 标题，侧渠道攻击的风险大大恶化，两者共同作用无法限制加载恶意脚本和未经授权的子资源。

此外，由于缺少严格的 CORS 配置和不受监控的“受信 URL”，外部域可以在自己的浏览上下文中轻松加载您的 Salesforce 页面，从而为数据泄露漏洞创造了大得多的攻击面。

低风险或无风险

为了最大限度地减少未启用 COOP 和 COEP 时跨源数据泄露的风险，组织应实施严格的内容安全策略 (CSP)，将外部脚本和资源加载限制为仅验证和受信域。

此外,强制实施短会话超时、要求多重身份验证 (MFA) 和使用 Salesforce Shield Event Monitoring 可以通过减少侧渠道攻击的窗口和提供可疑数据访问模式的实时检测来提供重要的深度防御层。

业务和集成注意事项

评估贵组织如何与外部内容和第三方窗口交互。这些标题用于实现“跨源隔离”状态，这可以防止幽灵类型的攻击，但也可以破坏现有的功能。

建议的补救措施

在会话设置中启用 COOP 和 COEP。

安全健康审查指导

安全运行状况检查会话设置配置，验证 COOP 和 COEP 是否启用，符合行业最佳实践。