Lightning Loader API 版本

控制名稱

Lightning Loader API 版本

建議組態

• 在 API 版本中使用安全性增強功能 - 選取元件正確運作的最新 API 版本

設定>工作階段設定>Lightning Locker API 版本。

控制概觀

啟用最新的 Lightning Locker API 版本是安全性控制項,可確保貴組織中的所有 Lightning 元件皆受 Salesforce 提供的最新安全性修補程式和結構增強功能所管理。透過在「工作階段設定」中選取目前版本,管理員可強制元件遵循最新的瀏覽器層級保護,例如精簡 DOM 隔離和跨網站指令檔 (XSS) 緩解措施,以確保即使是舊版元件也會受益於現代深度防禦策略。

未設定安全性風險

若未啟用最新的 Lightning Locker API 版本,則您的組織會接觸已知的安全性漏洞和跨站台指令檔 (XSS) 風險。

威脅情況

在執行過期 Lightning Locker API 版本的環境中,威脅執行動作的使用者或惡意受管理封裝可能會利用已知且未修補的漏洞,這些漏洞在最新版本中受到嚴格封鎖。透過利用這些較舊且限制較小的安全性規則,攻擊者可以執行任意 JavaScript 來略過 DOM 隔離,讓他們無聲地從其他元件取用敏感資料,或劫持使用者的工作階段而無須偵測。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

主要風險影響是讓您的組織容易受到已知的修補程式安全性漏洞,同時增加效能降級和整合失敗的可能性,因為舊版隔離規則與現代瀏覽器安全性標準不同步。

風險愈高時機

權限式內容安全性原則 (CSP) 或 CORS 組態會大幅強化資料外洩的風險,這可能不小心允許未經授權的指令檔執行,或提供將竊取的資料傳送至惡意外部網域的明確路徑。

低風險或無風險的時機

若要將最新 Lightning Locker API 版本尚未啟用的風險降到最低,組織應實作「嚴格內容安全性原則」(CSP),以防止執行未經授權的指令檔,並封鎖資料外洩至不受信任的網域。

業務與整合考量事項

實作最新的 Lightning Locker API 版本需要在 Sandbox 中進行完整迴歸測試,以確保自訂元件和第三方受管理封裝仍與更新的安全性限制相容,例如更嚴格的 HTML 消毒和封鎖的 JavaScript API,這可能會導致功能損毀或執行階段錯誤。

建議的補救措施

啟用最新 API 版本。Lightning Locker 會透過每次 API 更新增強安全性。

安全性健康檢閱指南

無 - 目前未由安全性健康審查工具檢查。