Ti trovi qui:
Versione API Lightning Loader
L'abilitazione della versione più recente dell'API Lightning Locker è un controllo di sicurezza che garantisce che tutti i componenti Lightning dell'organizzazione siano regolati dalle patch di protezione più recenti.
Nome controllo
Versione API Lightning Loader
Configurazione consigliata
- Utilizzare le ottimizzazioni della sicurezza nella versione API: selezionare la versione API più recente in cui i componenti hanno funzionato correttamente
Imposta>Impostazioni di sessione>Versione API Lightning Locker.
Panoramica sul controllo
L'abilitazione della versione più recente dell'API Lightning Locker è un controllo di sicurezza che garantisce che tutti i componenti Lightning dell'organizzazione siano regolati dalle patch di protezione e dai miglioramenti dell'architettura più recenti forniti da Salesforce. Selezionando la versione corrente in Impostazioni di sessione, gli amministratori obbligano i componenti a rispettare le protezioni a livello di browser più recenti, ad esempio l'isolamento DOM ottimizzato e le mitigazioni XSS (Cross-Site Scripting), assicurando che anche i componenti legacy usufruiscano delle moderne strategie di difesa in profondità.
Rischio per la sicurezza se non configurato
La mancata abilitazione della versione più recente dell'API Lightning Locker espone l'organizzazione a vulnerabilità note della sicurezza e a rischi di cross-site scripting (XSS).
Scenari di minaccia
In un ambiente che esegue una versione API Lightning Locker obsoleta, un attore di minaccia o un pacchetto gestito dannoso potrebbe sfruttare vulnerabilità note e senza patch che sono rigorosamente bloccate nelle versioni più recenti. Sfruttando queste regole di protezione meno recenti e restrittive, l'autore dell'attacco può eseguire codice JavaScript arbitrario per ignorare l'isolamento del DOM, consentendo di raschiare silenziosamente i dati sensibili da altri componenti o di dirottare la sessione dell'utente senza essere rilevato.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
L'impatto del rischio principale è quello di rendere l'organizzazione vulnerabile a falle di sicurezza note e patchate, aumentando contemporaneamente la probabilità di peggioramento delle prestazioni e errori di integrazione poiché le regole di isolamento precedenti non sono sincronizzate con i moderni standard di sicurezza dei browser.
Rischio maggiore quando
Il rischio di esfiltrazione dei dati è notevolmente amplificato dalle configurazioni permissive della Content Security Policy (CSP) o CORS, che possono consentire l'esecuzione inavvertita di script non autorizzati o fornire un percorso chiaro per l'invio di dati rubati a domini esterni dannosi.
Rischio basso o nullo quando
Per ridurre al minimo il rischio quando la versione più recente dell'API Lightning Locker non è ancora abilitata, le organizzazioni devono implementare una policy rigorosa per la sicurezza dei contenuti (CSP) per impedire l'esecuzione di script non autorizzati e bloccare l'esfiltrazione dei dati ai domini non affidabili.
Considerazioni su Business e integrazione
L'implementazione della versione più recente dell'API Lightning Locker richiede un test di regressione accurato in un Sandbox per garantire che i componenti personalizzati e i pacchetti gestiti di terze parti rimangano compatibili con le restrizioni di sicurezza aggiornate, ad esempio una più rigorosa sanificazione HTML e API JavaScript bloccate, che altrimenti potrebbero causare interruzioni funzionali o errori di runtime.
Rimedio consigliato
Abilitare la versione API più recente. Lightning Locker migliora la sicurezza con ogni aggiornamento API.
Guida all'esame dello stato della sicurezza
N/D - Attualmente non ispezionato dallo strumento Controllo dello stato della sicurezza.
