您在此处:
禁用报表中的公式
组织范围的设置,将 Excel 公式从报表导出中移除,防止当用户将敏感数据下载为电子表格时出现恶意公式注入攻击。
控件名称
报表管理 - 禁用报表中的公式。
控制概览
组织范围的设置,将 Excel 公式从报表导出中移除,防止当用户将敏感数据下载为电子表格时出现恶意公式注入攻击。
描述
启用后,Salesforce 仅将报表导出为静态值(no =FORMULATEXT(),no VBA 宏),阻止攻击者将可执行代码嵌入在 Excel/LibreOffice 中打开时执行的自定义公式字段中。
推荐配置
启用“禁用报表中的公式以避免报表输出中的公式注入”- 报表/仪表板设置中的设置。
安全影响
通过合法的业务报表,消除基于公式的恶意软件分发的主要媒介。强制安全静态导出,保护下游收件人免受自动代码执行的影响。
业务影响
维护报表导出功能,同时消除 Excel 宏安全风险。无需用户工作流更改。支持安全数据共享的合规性要求。
安全风险(如果未配置)
在导出到 Excel 时,用户报表包含潜在的公式注入漏洞,从而通过受信业务文档传递恶意软件。
威胁场景
增加公式注入攻击和信息泄露攻击的风险;具有报表导出权限的受威胁用户会在主管和财务团队在 Excel 中打开导出的 CSV 时执行的公式字段中嵌入恶意公式(=CMD('net user hacker password!/add')、=HYPERLINK("javascript:malware()"))。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
每个报表导出都会成为潜在的恶意软件向量;带有用户计数和报表分发频率的影响尺度;合法的复杂公式必须重新实施为静态汇总字段。
高风险
外部用户导出报表,自定义公式字段包含动态计算,通过电子邮件/Experience Cloud 或 Excel 繁重的财务/销售团队分发的报表。
低风险
报表仅在 Salesforce UI 中查看,没有自定义公式字段,仅限内部用户,建立了 PDF 导出首选项。
业务和集成注意事项
与报表繁重的用户交流更改;在启用前审核现有公式字段;在 Sandbox 导出中测试关键报表。
安全健康审查指导
一定是
谁受到影响
使用公式字段的报表生成器、导出到 Excel 的最终用户、监控导出模式的安全团队、验证安全数据共享控制的合规管理人员。
