Lightning Loader API 版本

控件名称

Lightning Loader API 版本

推荐配置

• 在 API 版本中使用安全增强 - 选择组件正常工作的最新 API 版本

设置>会话设置>Lightning Locker API 版本。

控制概览

启用最新的 Lightning Locker API 版本是一种安全控制，可确保贵组织中的所有 Lightning 组件都受 Salesforce 提供的最新安全补丁和架构增强的控制。通过在“会话设置”中选择当前版本，管理员强制组件遵守最新的浏览器级保护，例如完善的 DOM 隔离和跨站点脚本 (XSS) 缓解措施，确保即使传统组件也能从现代深度防御策略中受益。

安全风险（如果未配置）

不启用最新的 Lightning Locker API 版本会使您的组织面临已知的安全漏洞和跨站点脚本 (XSS) 风险。

威胁场景

在运行过时 Lightning Locker API 版本的环境中，威胁操作者或恶意受管软件包可能会利用在最新版本中严格阻止的已知未修补漏洞。通过利用这些旧的、限制较少的安全规则，攻击者可以执行任意 JavaScript 来绕过 DOM 隔离，允许他们静默地从其他组件中刮取敏感数据，或者劫持用户的会话而不被发现。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

主要的风险影响是使您的组织容易受到已知修补安全漏洞的攻击，同时由于原有隔离规则与现代浏览器安全标准不同步，增加了性能下降和集成失败的可能性。

高风险

宽松的内容安全策略 (CSP) 或 CORS 配置大大放大了数据泄露的风险，这可能无意中允许未经授权的脚本运行，或者为将窃取的数据发送到恶意的外部域提供明确的路径。

低风险或无风险

为了在最新 Lightning Locker API 版本尚未启用时将风险最小化，组织应实施严格的内容安全策略 (CSP)，以防止执行未经授权的脚本并阻止数据泄露到不受信任的域。

业务和集成注意事项

实施最新的 Lightning Locker API 版本需要在 Sandbox 中进行彻底的回归测试，以确保自定义组件和第三方受管软件包与更新的安全限制保持兼容，例如更严格的 HTML 清理和阻止的 JavaScript API，否则可能会导致功能中断或运行时错误。

建议的补救措施

启用最新的 API 版本。Lightning Locker 通过每次 API 更新增强安全性。

安全健康审查指导

不适用 - 当前未由安全运行状况审查工具检查。