Olet tässä:
Lightning Loader API -versio
Uusimman Lightning Locker API -version ottaminen käyttöön on tietoturvatarkistus, joka varmistaa, että organisaatiosi kaikki Lightning ovat uusimpien tietoturvatarkistusten alaisia.
Ohjaimen nimi
Lightning Loader API -versio
Suositeltu kokoonpano
- Käytä suojauksen parannuksia API-versiossa – valitse uusin API-versio, jossa komponentit toimivat oikein
Määritykset>Istuntoasetukset>Lightning Locker API -versio.
Ohjauksen yleiskatsaus
Uusimman Lightning Locker API -version ottaminen käyttöön on tietoturvan hallinta, joka varmistaa, että organisaatiosi kaikkia Lightning hallitaan Salesforcen tarjoamilla uusimmilla suojauskorjausversioilla ja arkkitehtuurin parannuksilla. Valitsemalla tämänhetkisen version istuntoasetuksista, pääkäyttäjät pakottavat komponentit noudattamaan uusimpia selaintason suojauksia — kuten hienosäätettyjä DOM-eristys- ja sivustojen välisiä komentosarjojen (XSS) lieventämiä — varmistaakseen, että jopa vanhat komponentit hyötyvät nykyaikaisista syvällisistä puolustusstrategioista.
Tietoturvariski, jos ei määritetty
Jos et ota uusinta Lightning Locker API -versiota käyttöön, organisaatiosi altistuu tunnetuille tietoturvariskille ja Cross-Site Scripting (XSS) -riskeille.
Uhkien skenaariot
Lightning Locker API -versiota käyttävässä ympäristössä uhkien tekijä tai haitallinen hallittu paketti voisi hyödyntää tunnettuja ja lähettämättömiä haavoittuvuuksia, jotka on estetty tarkasti uusimmissa versioissa. Hyökkääjä voi hyödyntää näitä vanhoja, vähemmän rajoittavia suojaussääntöjä suorittaakseen satunnaisen JavaScriptin ohittaakseen DOM-eristämisen, jolloin hän voi hiljaa kaapata luottamuksellisia tietoja muista komponenteista tai kaapata käyttäjän istunnon ilman havaintoja.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Ensisijainen riskin vaikutus on se, että organisaatiosi on haavoittuvainen tunnetuille korjatuille tietoturvavirheille, mutta samalla se lisää suorituskyvyn heikentymisen ja integroinnin epäonnistumisen todennäköisyyttä, kun vanhat eristyssäännöt eivät ole synkronoituna nykyaikaisten selainten suojausstandardien kanssa.
Korkeampi riski, kun
Sisällön suojauskäytäntöjen (CSP) tai CORS-kokoonpanojen salliminen lisää merkittävästi tietojen suodattamisen riskiä, mikä voi vahingossa sallia valtuuttamattomien komentosarjojen suorittamisen tai tarjota selkeän polun varastettujen tietojen lähettämiseen haitallisiin ulkoisiin toimialueisiin.
Matala riski tai ei riskiä, kun
Organisaatioiden tulisi ottaa käyttöön tiukka sisällön suojauskäytäntö (CSP) estääkseen valtuuttamattomien komentosarjojen suorittamisen ja estääkseen datan suodattamisen epäluotettuihin toimialueisiin.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Viimeisimmän Lightning Locker API -version toteuttaminen vaatii perusteellista regression testausta sandboxissa varmistaakseen, että mukautetut komponentit ja kolmansien osapuolten hallitut paketit ovat edelleen yhteensopivia päivitettyjen tietoturvarajoitusten kanssa — kuten tiukempi HTML-puhdistaminen ja estetyt JavaScript API -rajapinnat — mikä muutoin saattaa aiheuttaa toiminnallisia rikkomuksia tai suorituksen aikaisia virheitä.
Suositeltu korjaus
Ota uusin API-versio käyttöön. Lightning Locker parantaa tietoturvaa jokaisen API-päivityksen yhteydessä.
Tietoturvan terveystarkastuksen ohjeet
N/A - Tällä hetkellä ei tarkastettu Suojauksen terveystarkastus -työkalulla.
