Você está aqui:
Versão da API do Lightning Loader
Habilitar a versão mais recente da API do Lightning Locker é um controle de segurança que garante que todos os componentes do Lightning em sua organização sejam regidos pelas correções de segurança mais recentes.
Nome do controle
Versão da API do Lightning Loader
Configuração recomendada
- Usar aprimoramentos de segurança na versão da API – selecione a versão da API mais recente em que os componentes funcionaram corretamente
Configuração>Configurações de sessão>Versão da API do Lightning Locker.
Visão geral de controle
Habilitar a versão mais recente da API do Lightning Locker é um controle de segurança que garante que todos os componentes do Lightning em sua organização sejam regidos pelos patches de segurança e aprimoramentos de arquitetura mais recentes fornecidos pelo Salesforce. Ao selecionar a versão atual em Configurações de sessão, os administradores forçam os componentes a cumprir as proteções mais recentes no nível do navegador, como o refinado isolamento de DOM e mitigações de script entre sites (XSS), garantindo que até mesmo componentes legados se beneficiem de estratégias modernas de defesa em profundidade.
Risco de segurança, se não configurado
Não habilitar a versão mais recente da API Lightning Locker expõe sua organização a vulnerabilidades de segurança conhecidas e riscos de script entre sites (XSS).
Cenários de ameaça
Em um ambiente que executa uma versão desatualizada da API Lightning Locker, um agente de ameaças ou um pacote gerenciado malicioso podem explorar vulnerabilidades conhecidas e não corrigidas que são estritamente bloqueadas nas versões mais recentes. Ao aproveitar essas regras de segurança mais antigas e menos restritivas, o invasor pode executar JavaScript arbitrário para contornar o isolamento do DOM, permitindo que ele raspe dados confidenciais de outros componentes ou sequestre a sessão do usuário sem detecção.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
O impacto principal do risco é deixar sua organização vulnerável a falhas de segurança conhecidas e corrigidas, ao mesmo tempo que aumenta a probabilidade de degradação de desempenho e falhas de integração conforme as regras de isolamento legadas ficam fora de sincronia com os padrões modernos de segurança do navegador.
Risco maior quando
O risco de exfiltração de dados é amplificado significativamente por configurações permissivas da Política de segurança de conteúdo (CSP) ou do CORS, que podem permitir inadvertidamente a execução de scripts não autorizados ou fornecer um caminho claro para enviar dados roubados para domínios externos maliciosos.
Baixo ou Sem risco quando
Para minimizar o risco quando a versão mais recente da API do Lightning Locker ainda não está habilitada, as organizações devem implementar uma Política de segurança de conteúdo estrita (CSP) para evitar a execução de scripts não autorizados e bloquear a exfiltração de dados para domínios não confiáveis.
Considerações de negócios e integração
Implementar a versão mais recente da API do Lightning Locker requer testes de regressão completos em um sandbox para garantir que os componentes personalizados e pacotes gerenciados de terceiros permaneçam compatíveis com restrições de segurança atualizadas, como uma limpeza de HTML mais rígida e APIs JavaScript bloqueadas, que poderiam levar a falhas funcionais ou erros de tempo de execução.
Remediação recomendada
Habilite a versão mais recente da API. O Lightning Locker aprimora a segurança com cada atualização de API.
Diretriz de revisão de saúde de segurança
N/A – atualmente não inspecionado pela ferramenta Análise de integridade de segurança.
