Вы находитесь здесь:
Управление версиями Lightning Loader API
Включение последней версии Lightning Locker API — это элемент управления безопасностью, обеспечивающий управление всеми компонентами Lightning в организации последними исправлениями безопасности.
Управление именем
Версия API Lightning Loader
Рекомендованная конфигурация
- Используйте улучшения безопасности в версии API - выберите последнюю версию API, где компоненты работали корректно
Настройка>Параметры сеанса>Версия API Lightning Locker.
Общие сведения о контроле
Включение последней версии Lightning Locker API - это средство контроля безопасности, обеспечивающее управление всеми компонентами Lightning в организации последними исправлениями безопасности и архитектурными усовершенствованиями, предоставленными Salesforce. Выбрав текущую версию в параметрах сеанса, администраторы заставляют компоненты придерживаться последних средств защиты на уровне обозревателя, например, доработанной изоляции DOM и смягчения межсайтового скриптинга (XSS), обеспечивая использование даже устаревших компонентов современными стратегиями глубокой защиты.
Риск безопасности, если он не настроен
Если не включить последнюю версию Lightning Locker API, ваша организация будет подвержена известным уязвимостям безопасности и рискам межсайтового скриптинга (XSS).
Сценарии угроз
В среде под управлением устаревшей версии Lightning Locker API исполнитель угрозы или вредоносный управляемый пакет может использовать известные, неисправленные уязвимости, которые строго блокируются в последних версиях. Используя эти старые, менее строгие правила безопасности, взломщик может выполнить произвольный JavaScript для обхода изоляции DOM, что позволит ему незаметно вычеркнуть конфиденциальные данные из других компонентов или перехватить сеанс пользователя без обнаружения.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Влияние основного риска — это уязвимость организации перед известными исправленными недостатками безопасности и одновременное повышение вероятности сбоев производительности и интеграции, поскольку устаревшие правила изоляции не синхронизируются с современными стандартами безопасности обозревателя.
Повышенный риск при
Риск эксфильтрации данных значительно возрастает из-за конфигураций политики безопасности содержимого (CSP) или CORS, которые могут непреднамеренно разрешить несанкционированный запуск сценариев или предоставить четкий путь для отправки украденных данных во вредоносные внешние домены.
Низкий или нулевой риск при
Чтобы минимизировать риск, когда последняя версия Lightning Locker API еще не включена, организации должны внедрить строгую политику безопасности содержимого (CSP) для предотвращения выполнения несанкционированных сценариев и блокировки эксфильтрации данных в ненадежные домены.
Рекомендации по бизнесу и интеграции
Внедрение последней версии Lightning Locker API требует тщательного регрессионного тестирования в безопасной среде для обеспечения совместимости настраиваемых компонентов и сторонних управляемых пакетов с обновленными ограничениями безопасности (например, более строгая санитария HTML и заблокированные JavaScript API), что в противном случае может привести к функциональным поломкам или ошибкам среды выполнения.
Рекомендованное исправление
Включите последнюю версию API. Lightning Locker повышает безопасность с каждым обновлением API.
Руководство по проверке состояния безопасности
Нет/нет - в настоящее время не проверяется средством проверки состояния безопасности.
