Usted está aquí:
Seguridad web Lightning
Activar Lightning Web Security (LWS) es un control de seguridad que sustituye la arquitectura Lightning Locker heredada por un entorno sandbox moderno basado en virtualización para componentes Lightning.
Nombre de control
Seguridad web Lightning
Configuración recomendada
- Utilizar Seguridad web Lightning para componentes web Lightning y componentes Aura
Configuración>Configuración de sesión>Utilizar Seguridad web Lightning para componentes web Lightning y componentes Aura.
Descripción general de control
Activar Lightning Web Security (LWS) es un control de seguridad que sustituye la arquitectura Lightning Locker heredada por un entorno sandbox moderno basado en virtualización para componentes Lightning. Aísla componentes de diferentes espacios de nombres dentro de sus propios entornos sandbox de JavaScript y utiliza "distorsiones" para modificar dinámicamente API potencialmente inseguras, evitando que el código malicioso interfiera con otros componentes o acceda a datos no autorizados mientras mantiene un alto rendimiento.
Riesgo de seguridad si no está configurado
La no activación de Lightning Web Security (LWS) aumenta el riesgo de exfiltración de datos entre espacios de nombres y ataques basados en DOM, ya que los componentes de diferentes orígenes podrían carecer de la virtualización sólida necesaria para evitar que accedan a los datos privados de otros.
Escenarios de amenazas
Un usuario instala sin saberlo un componente Lightning externo malicioso o comprometido que, en ausencia de la virtualización de Lightning Web Security, puede omitir los límites del espacio de nombres para acceder al entorno JavaScript global y el DOM de otros componentes. Esto permite que el componente deshonesto raspe silenciosamente datos de registros confidenciales o capture entradas de usuario desde componentes legítimos de Salesforce en la misma página y exfiltre la información a un servidor externo controlado por atacantes.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
El riesgo aumenta con la falta de Ciclo de vida de desarrollo seguro que evalúa los componentes implementados en la plataforma.
Riesgo más alto cuando
Falta de CSP para bloquear la exfiltración de datos no autorizada y restringir la ejecución de secuencias de comandos externas no confiables.
Riesgo bajo o nulo cuando
Para minimizar el riesgo cuando Lightning Web Security (LWS) aún no está activado, las organizaciones deben aplicar estrictamente una Política de seguridad de contenido refinado (CSP) para bloquear la exfiltración de datos no autorizada y restringir la ejecución de secuencias de comandos externas no confiables.
Además, la realización de revisiones de seguridad rigurosas de todos los paquetes gestionados y componentes personalizados externos, combinados con Salesforce Shield Event Monitoring para detectar patrones de acceso a datos anómalos, proporciona una capa crítica de defensa contra posibles exploits de espacio de nombres cruzados.
Consideraciones comerciales y de integración
La integración principal y las consideraciones comerciales al activar Lightning Web Security (LWS) implican realizar una auditoría integral de componentes Aura existentes y externos, ya que la transición de Lightning Locker puede requerir refactorizar JavaScript que manipula directamente el objeto de ventana global o utiliza "usestrict" de formas que entran en conflicto con los nuevos entornos sandbox de virtualización.
Remediación recomendada
Active Lightning Web Security en Configuración de sesión.
Directrices de revisión del estado de seguridad
Security Health Review inspecciona la Configuración de seguridad de sesión para verificar que Lightning Web Security está en vigor para proteger componentes web y aura.
