Vous êtes ici :
Version de l'API Lightning Loader
L'activation de la dernière version de l'API Lightning Locker est un contrôle de sécurité qui garantit que tous les composants Lightning de votre organisation sont régis par les correctifs de sécurité les plus récents.
Nom du contrôle
Version de l'API Lightning Loader
Configuration recommandée
- Utiliser les améliorations de sécurité dans la version d'API : sélectionnez la version d'API la plus récente dans laquelle les composants ont fonctionné correctement
Configuration>Paramètres de session>Version de l'API Lightning Locker.
Vue d'ensemble du contrôle
L'activation de la dernière version de l'API Lightning Locker est un contrôle de sécurité qui garantit que tous les composants Lightning de votre organisation sont régis par les correctifs de sécurité et les améliorations architecturales les plus récents fournis par Salesforce. En sélectionnant la version actuelle dans Paramètres de session, les administrateurs forcent les composants à adhérer aux toutes dernières protections au niveau du navigateur, notamment l'isolation DOM et les atténuations des scripts inter-site (XSS), ce qui garantit que même les composants hérités bénéficient de stratégies de défense en profondeur modernes.
Risque de sécurité s'il n'est pas configuré
Ne pas activer la dernière version de l'API Lightning Locker expose votre organisation à des failles de sécurité connues et à des risques de script inter-site (XSS).
Scénarios de menace
Dans un environnement exécutant une version obsolète de l'API Lightning Locker, un acteur de menace ou un package géré malveillant pourrait exploiter des vulnérabilités connues, non corrigées et strictement bloquées dans les dernières versions. En exploitant ces anciennes règles de sécurité moins restrictives, l'assaillant peut exécuter un JavaScript arbitraire pour contourner l'isolation DOM, ce qui lui permet de retirer en silence des données confidentielles d'autres composants ou de pirater la session de l'utilisateur sans détection.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
L'impact principal sur le risque rend votre organisation vulnérable aux failles de sécurité connues et corrigées, tout en augmentant la probabilité de dégradation des performances et d'échecs d'intégration, car les règles d'isolation héritées ne sont pas synchronisées avec les normes de sécurité modernes du navigateur.
Risque plus élevé quand
Le risque d'exfiltration de données est considérablement amplifié par les configurations CSP (Stratégie de sécurité des contenus) ou CORS permissives, qui peuvent involontairement autoriser l'exécution de scripts non autorisés ou fournir un chemin clair pour envoyer des données volées à des domaines externes malveillants.
Risque faible ou nul
Pour minimiser les risques lorsque la dernière version de l'API Lightning Locker n'est pas encore activée, les organisations doivent implémenter une Stratégie de sécurité des contenus stricte (CSP) afin d'empêcher l'exécution de scripts non autorisés et bloquer l'exfiltration de données vers des domaines non approuvés.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation de la dernière version de l'API Lightning Locker nécessite un test de régression approfondi dans une organisation sandbox afin de s'assurer que les composants personnalisés et les packages gérés tiers restent compatibles avec les restrictions de sécurité mises à jour, telles que la désinfection HTML plus stricte et le blocage des API JavaScript, qui pourraient autrement entraîner des ruptures fonctionnelles ou des erreurs d'exécution.
Remédiation recommandée
Activez la dernière version de l'API. Lightning Locker renforce la sécurité à chaque Mise à jour d'API.
Guide d'examen sanitaire de sécurité
S.O. - Actuellement non inspecté par l'outil d'examen sanitaire de sécurité.
