Sie befinden sich hier:
Lightning Web Security (Lightning-Websicherheit)
Lightning Web Security (LWS) ist eine Sicherheitssteuerung, die die veraltete Lightning Locker Architektur durch eine moderne virtualisierungsbasierte Sandbox für Lightning Komponenten ersetzt.
Steuerelementname
Lightning Web Security (Lightning-Websicherheit)
Empfohlene Konfiguration
- Verwenden von Lightning Web Security für Lightning-Webkomponenten und Aura-Komponenten
Setup>Sitzungseinstellungen>Lightning Web Security für Lightning Webkomponenten und Aura-Komponenten verwenden.
Steuerelementübersicht
Lightning Web Security (LWS) ist eine Sicherheitssteuerung, die die veraltete Lightning Locker Architektur durch eine moderne virtualisierungsbasierte Sandbox für Lightning Komponenten ersetzt. Sie isoliert Komponenten aus unterschiedlichen Namespaces in ihren eigenen JavaScript-Sandbox-Instanzen und verwendet "Verzerrungen", um potenziell unsichere APIs dynamisch zu ändern, wodurch verhindert wird, dass bösartiger Code andere Komponenten beeinträchtigt oder auf nicht autorisierte Daten zugreift, während gleichzeitig eine hohe Leistung gewährleistet wird.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn Lightning Web Security (LWS) nicht aktiviert wird, erhöht sich das Risiko von Namespace-übergreifender Datenexfiltration und DOM-basierten Angriffen, da Komponenten aus unterschiedlichen Quellen möglicherweise nicht über die erforderliche zuverlässige Virtualisierung verfügen, um den Zugriff auf die privaten Daten des jeweils anderen zu verhindern.
Bedrohungsszenarien
Ein Benutzer installiert unwissentlich eine bösartige oder kompromittierte Lightning-Komponente eines Drittanbieters, die ohne die Virtualisierung der Lightning Web Security Namespace-Grenzen umgehen kann, um auf die globale JavaScript-Umgebung und das DOM anderer Komponenten zuzugreifen. Dadurch kann die Schurkenkomponente vertrauliche Datensatzdaten stillschweigend abstreifen oder Benutzereingaben aus legitimen Salesforce-Komponenten auf derselben Seite erfassen und die Informationen auf einen externen Server mit Angreifersteuerung übertragen.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Das Risiko steigt, da es keinen sicheren Entwicklungslebenszyklus gibt, der die auf der Plattform bereitgestellten Komponenten bewertet.
Höheres Risiko, wenn
Fehlende CSP zum Blockieren der nicht autorisierten Datenexfiltration und Einschränken der Ausführung nicht vertrauenswürdiger externer Skripts.
Geringes oder kein Risiko, wenn
Organisationen sollten eine Richtlinie zur Verfeinerten Inhaltssicherheit (CSP) erzwingen, um nicht autorisierte Datenexfiltration zu blockieren und die Ausführung nicht vertrauenswürdiger externer Skripts einzuschränken, um das Risiko zu minimieren, wenn Lightning Web Security (LWS) noch nicht aktiviert ist.
Darüber hinaus bietet die Durchführung strenger Sicherheitsüberprüfungen für alle verwalteten Drittanbieterpakete und benutzerdefinierten Komponenten in Kombination mit der Salesforce Shield-Ereignisüberwachung eine wichtige Schutzebene gegen potenzielle Namespace-übergreifende Exploits.
Überlegungen zu Unternehmen und Integration
Bei der Aktivierung von Lightning Web Security (LWS) werden zunächst die vorhandenen Aura- und Drittanbieterkomponenten umfassend überprüft, da für die Umstellung von Lightning Locker möglicherweise JavaScript neu definiert werden muss, das das globale Fensterobjekt direkt manipuliert oder "streng verwenden" verwendet, was mit den neuen Virtualisierungs-Sandbox-Instanzen in Konflikt steht.
Empfohlene Sanierung
Aktivieren Sie die Lightning Websicherheit in den Sitzungseinstellungen.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung überprüft die Sitzungssicherheitseinstellungen, um sicherzustellen, dass die Lightning Web Security zum Schützen von Web- und Aura-Komponenten vorhanden ist.
