Sie befinden sich hier:
Lightning Loader-API-Versionskontrolle
Bei der Aktivierung der neuesten Lightning Locker API-Version handelt es sich um eine Sicherheitssteuerung, die sicherstellt, dass alle Lightning-Komponenten in Ihrer Organisation den neuesten Sicherheitspatches unterliegen.
Steuerelementname
Lightning Loader-API-Version
Empfohlene Konfiguration
- Verwenden von Sicherheitsverbesserungen in der API-Version: Wählen Sie die neueste API-Version aus, in der die Komponenten ordnungsgemäß funktioniert haben
Setup>Sitzungseinstellungen>Lightning Locker-API-Version.
Steuerelementübersicht
Bei der Aktivierung der neuesten Lightning Locker API-Version handelt es sich um eine Sicherheitssteuerung, die sicherstellt, dass alle Lightning-Komponenten in Ihrer Organisation durch die neuesten Sicherheitspatches und Architekturverbesserungen von Salesforce gesteuert werden. Durch Auswahl der aktuellen Version in den Sitzungseinstellungen zwingen Administratoren Komponenten dazu, die neuesten Schutzmaßnahmen auf Browserebene einzuhalten, beispielsweise die optimierte DOM-Isolierung und Cross-Site Scripting (XSS)-Abhilfemaßnahmen. So wird sichergestellt, dass auch ältere Komponenten von modernen Strategien zur detaillierten Verteidigung profitieren.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn Sie die aktuelle Lightning Locker API-Version nicht aktivieren, ist Ihre Organisation bekannten Sicherheitslücken und Cross-Site Scripting-Risiken ausgesetzt.
Bedrohungsszenarien
In einer Umgebung, in der eine veraltete Lightning Locker API-Version ausgeführt wird, kann ein Bedrohungsakteur oder ein bösartiges verwaltetes Paket bekannte, nicht gepatchte Schwachstellen ausnutzen, die in den neuesten Versionen streng blockiert sind. Durch die Nutzung dieser älteren, weniger restriktiven Sicherheitsregeln kann der Angreifer beliebiges JavaScript ausführen, um die DOM-Isolation zu umgehen, wodurch er vertrauliche Daten stillschweigend aus anderen Komponenten entfernen oder die Sitzung des Benutzers ohne Erkennung kapern kann.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Die primären Risikoauswirkungen bestehen darin, dass Ihre Organisation anfällig für bekannte, gepatchte Sicherheitslücken bleibt und gleichzeitig die Wahrscheinlichkeit von Leistungseinbußen und Integrationsfehlern erhöht wird, da veraltete Isolationsregeln nicht mehr mit modernen Browsersicherheitsstandards synchron sind.
Höheres Risiko, wenn
Das Risiko der Datenexfiltration wird durch CSP- oder CORS-Konfigurationen (Permissive Content Security Policy) erheblich erhöht, die versehentlich die Ausführung nicht autorisierter Skripts zulassen oder einen eindeutigen Weg zum Senden gestohlener Daten an bösartige externe Domänen bieten können.
Geringes oder kein Risiko, wenn
Organisationen sollten eine strenge Inhaltssicherheitsrichtlinie implementieren, um die Ausführung nicht autorisierter Skripts zu verhindern und die Datenexfiltration in nicht vertrauenswürdige Domänen zu blockieren, um das Risiko zu minimieren, wenn die neueste Lightning Locker API-Version noch nicht aktiviert ist.
Überlegungen zu Unternehmen und Integration
Die Implementierung der neuesten Lightning Locker API-Version erfordert gründliche Regressionstests in einer Sandbox, um sicherzustellen, dass benutzerdefinierte Komponenten und verwaltete Drittanbieterpakete mit aktualisierten Sicherheitseinschränkungen wie strengerer HTML-Bereinigung und blockierten JavaScript-APIs kompatibel bleiben, was andernfalls zu Funktionsstörungen oder Laufzeitfehlern führen könnte.
Empfohlene Sanierung
Aktivieren Sie die neueste API-Version. Lightning Locker erhöht mit jeder API-Aktualisierung die Sicherheit.
Anleitung zur Sicherheitsintegritätsprüfung
N/A: Wird derzeit nicht vom Tool "Sicherheitsintegritätsüberprüfung" untersucht.
