跨站点请求伪造 (CSRF) 保护

控件名称

CSRF 保护

推荐配置

• 在非设置页面上启用 GET 请求的 CSRF 保护
• 在非设置页面上启用 POST 请求的 CSRF 保护

设置>会话设置>跨站点请求伪造 (CSRF) 保护>启用所有选项。

控制概览

在 Salesforce 会话设置中启用 CSRF 保护，通过向非设置页面上的每个状态更改请求（例如 POST）注入唯一的加密随机令牌来保护您的环境。

然后，平台根据用户的活动会话验证此令牌，以确保请求来自合法的用户交互，从而有效防止恶意网站欺骗浏览器代表用户执行未经授权的命令。

安全风险（如果未配置）

禁用 CSRF 保护会使您的 Salesforce 环境容易受到跨站点请求伪造 (CSRF) 攻击，在这种攻击中，恶意网站可以欺骗用户的浏览器在 Knowledge 不知情的情况下执行未经授权的状态更改命令，例如删除记录或修改安全设置。由于这些请求会继承经过身份验证的用户的权限，因此对管理帐户的攻击可能会导致组织数据和配置的全面泄露。

威胁场景

在典型的威胁场景中，攻击者会诱使经过身份验证的 Salesforce 用户访问恶意网站或单击链接，从而触发对 Salesforce 实例的隐藏跨站点请求。

由于浏览器自动包含用户的活动会话 Cookie，Salesforce 会合法执行命令，因为缺少有效的 anti-CSRF 令牌来验证请求的来源，从而可能允许攻击者在用户 Knowledge 不知情的情况下删除记录、修改安全配置或升级自己的权限。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险影响包括对数据保密性和完整性的全面损害，未经授权的行为者可以执行行政操作或获取敏感信息，导致灾难性的财务、法律和声誉损害。

高风险

除了已经讨论过的设置之外，禁用“将会话锁定到发起会话的 IP 地址”和“启用点击劫持保护”等错误配置会显著放大您的风险简档。

如果没有 IP 锁定，攻击者可以从任何地方使用被劫持的会话 ID 或从浏览器的持久缓存中获取的数据，而禁用点击劫持保护允许恶意站点在您的 Salesforce 组织上覆盖不可见的框架，诱使用户执行绕过 CSRF 防护的操作。此外，保持较长的会话超时或未能“在会话超时时强制注销”会延长攻击者在无人参与或共享的工作站上利用这些漏洞的机会窗口。

低风险或无风险

为了在主会话或缓存控制缺失时将这些风险最小化，实施多重身份验证 (MFA) 和 IP 范围限制，以确保即使会话被劫持或缓存数据被泄露，也不能从不可信的设备或位置轻松使用。

此外，使用 Salesforce Shield Event Monitoring 和严格的对象/字段级安全性，您可以实时检测异常数据导出，同时确保服务器端权限防止未经授权的操作，即使尝试了前端 CSRF 或基于缓存的攻击。

业务和集成注意事项

实施这些控制需要在增强安全性与系统互操作性之间取得平衡，因为严格的 CSRF 和会话实施可能会破坏原有集成、第三方 iFrame 或自定义 API 工作流，而这些工作流不会本地处理自动安全标记。

建议的补救措施

在会话设置中启用 CSRF 保护。

安全健康审查指导

安全运行状况检查会话设置，以验证是否根据安全最佳实践启用了跨站点请求伪造保护。