breadcrumbDescription
Lightning Loader API-version
Aktivering af den seneste Lightning Locker API-version er en sikkerhedskontrol, der sikrer, at alle Lightning i din organisation styres af de seneste sikkerhedsfejlretninger.
Kontrolnavn
Lightning Loader API-version
Anbefalet konfiguration
- Brug sikkerhedsforbedringer i API-version - vælg den seneste API-version, hvor komponenterne fungerede korrekt
Opsætning>Sessionsindstillinger>Lightning Locker API-version.
Kontroller oversigt
Aktivering af den seneste Lightning Locker API-version er en sikkerhedskontrol, der sikrer, at alle Lightning i din organisation styres af de seneste sikkerhedsfejlretninger og arkitektoniske forbedringer, der leveres af Salesforce. Ved at vælge den aktuelle version i Sessionsindstillinger tvinger administratorer komponenter til at overholde de seneste beskyttelser på browserniveau – f.eks. justeret DOM-isolering og XSS-reduktioner (cross-site scripting) – hvilket sikrer, at selv forældede komponenter drager fordel af moderne dybdeforsvarsstrategier.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Hvis du ikke aktiverer den seneste Lightning Locker API-version, udsættes din organisation for kendte sikkerhedssårbarheder og risici for Cross-Site Scripting (XSS).
Trusselscenarier
I et miljø, der kører en forældet Lightning Locker API-version, kan en trussel eller en ondsindet administreret pakke udnytte kendte, ikke-fejlrettede sårbarheder, der er strengt blokeret i de seneste versioner. Ved at udnytte disse ældre, mindre restriktive sikkerhedsregler kan angriberen udføre vilkårlig JavaScript for at tilsidesætte DOM-isolering, så vedkommende kan skrabe følsomme data fra andre komponenter eller overtage brugerens session uden at blive registreret.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Den primære risikopåvirkning gør din organisation sårbar over for kendte, fejlrettede sikkerhedsfejl, mens det samtidig øger sandsynligheden for ydeevnedegradering og integrationsfejl, når ældre isoleringsregler falder ud af synkronisering med moderne browsersikkerhedsstandarder.
Højere risiko når
Risikoen for dataudløb forstærkes væsentligt af tilladende indholdssikkerhedspolitikker (CSP) eller CORS-konfigurationer, som utilsigtet kan tillade, at uautoriserede scripts køres eller giver en tydelig sti til at sende stjålne data til ondsindede eksterne domæner.
Lav eller ingen risiko når
For at minimere risikoen, når den seneste Lightning Locker API-version endnu ikke er aktiveret, skal organisationer implementere en streng indholdssikkerhedspolitik (CSP) for at forhindre kørsel af uautoriserede scripts og blokere dataekspiltrering til usikrede domæner.
Overvejelser i forbindelse med forretning og integration
Implementering af den nyeste Lightning Locker API-version kræver grundig regressionstest i en sandbox for at sikre, at tilpassede komponenter og tredjepartsadministrerede pakker forbliver kompatible med opdaterede sikkerhedsbegrænsninger – f.eks. strengere HTML-rensning og blokerede JavaScript-API'er – som ellers kunne føre til funktionsfejl eller kørselsfejl.
Anbefalet rettelse
Aktiver den seneste API-version. Lightning Locker forbedrer sikkerheden med hver API-opdatering.
Vejledning til sikkerhedstilstandsgennemgang
N/A – I øjeblikket ikke undersøgt af værktøjet Sikkerhedstilstandsgennemgang.
