Lightning Loader API 버전

제어 이름

Lightning Loader API 버전

권장 구성

• API 버전에서 보안 고급 기능 사용 - 구성 요소가 올바르게 작동하는 최신 API 버전을 선택합니다.

설정>세션 설정>Lightning Locker API 버전.

제어 개요

최신 Lightning Locker API 버전을 활성화하면 조직의 모든 Lightning 구성 요소가 Salesforce에서 제공하는 최신 보안 패치 및 아키텍처 개선 사항에 따라 관리됩니다. 세션 설정에서 현재 버전을 선택하면 관리자가 최신 브라우저 수준 방어(예: 세분화된 DOM 격리 및 교차 사이트 스크립팅(XSS) 완화)를 준수하도록 구성 요소를 강제 적용하여 기존 구성 요소도 최신 심층 방어 전략을 활용할 수 있습니다.

구성되지 않은 경우 보안 위험

최신 Lightning Locker API 버전을 활성화하지 않으면 조직이 알려진 보안 취약점 및 크로스 사이트 스크립팅(XSS) 위험에 노출될 수 있습니다.

위협 시나리오

오래된 Lightning Locker API 버전을 실행하는 환경에서는 위협 작업자 또는 악성 관리 패키지가 최신 버전에서 엄격하게 차단되는 알려진 패치되지 않은 취약점을 활용할 수 있습니다. 덜 제한적인 오래된 보안 규칙을 활용하여 공격자는 임의의 JavaScript를 실행하여 DOM 격리를 우회하여 다른 구성 요소에서 중요한 데이터를 자동으로 스크래핑하거나 감지하지 않고 사용자 세션을 하이재킹할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

기본 위험은 기존 격리 규칙이 최신 브라우저 보안 표준과 동기화되지 않아 성능 저하 및 통합 실패 가능성을 높이는 동시에 조직이 알려진 패치된 보안 결함에 취약해지는 것입니다.

위험이 높은 경우

권한이 있는 콘텐츠 보안 정책(CSP) 또는 CORS 구성으로 인해 데이터 추출 위험이 크게 증가되며, 실수로 무단 스크립트가 실행되거나 도난된 데이터를 악성 외부 도메인으로 보내는 명확한 경로를 제공할 수 있습니다.

낮은 위험 또는 비위험

최신 Lightning Locker API 버전이 아직 활성화되지 않은 경우의 위험을 최소화하기 위해 조직은 CSP(Strict Content Security Policy)를 구현하여 무단 스크립트 실행을 방지하고 신뢰할 수 없는 도메인으로 데이터의 필터링을 차단해야 합니다.

비즈니스 및 통합 고려 사항

최신 Lightning Locker API 버전을 구현하려면 Sandbox에서 철저한 회귀 테스트를 거쳐 사용자 정의 구성 요소 및 타사 관리 패키지가 업데이트된 보안 제한(예: 더 엄격한 HTML 정리 및 차단된 JavaScript API)과 호환되는지 확인해야 합니다. 그렇지 않으면 기능 장애 또는 런타임 오류가 발생할 수 있습니다.

권장 수정

최신 API 버전을 활성화합니다. Lightning Locker 각 API 업데이트로 보안을 강화합니다.

보안 상태 검토 지침

N/A - 현재 보안 상태 검토 도구에서 검사되지 않았습니다.