Usted está aquí:
Control de seguridad web Lightning
La activación de Seguridad web Lightning (LWS) es un control de seguridad que sustituye la arquitectura Lightning Locker heredada por un sandbox moderno basado en virtualización para componentes Lightning.
Nombre de control
Seguridad web Lightning
Configuración recomendada
- Utilizar Seguridad web Lightning para componentes web Lightning y componentes Aura
Configuración>Configuración de sesión>Utilizar Seguridad web Lightning para componentes web Lightning y componentes Aura.
Descripción general de control
La activación de Seguridad web Lightning (LWS) es un control de seguridad que sustituye la arquitectura Lightning Locker heredada por un sandbox moderno basado en virtualización para componentes Lightning. Aísla componentes de diferentes espacios de nombres en sus propios entornos sandbox de JavaScript y utiliza "distorsiones" para modificar dinámicamente API potencialmente inseguras, evitando que el código malicioso interfiera con otros componentes o acceda a datos no autorizados mientras mantiene un alto desempeño.
Riesgo de seguridad si no está configurado
No activar Seguridad web Lightning (LWS) aumenta el riesgo de exfiltración de datos de espacio de nombres cruzado y ataques basados en DOM, ya que los componentes de diferentes orígenes podrían carecer de la virtualización sólida necesaria para evitar que accedan a los datos privados de los demás.
Escenarios de amenazas
Un usuario instala sin saberlo un componente Lightning externo malicioso o comprometido que, en ausencia de la virtualización de Seguridad web Lightning, puede omitir los límites del espacio de nombres para acceder al entorno JavaScript global y el DOM de otros componentes. Esto permite al componente erróneo raspar silenciosamente datos de registros confidenciales o capturar entradas de usuario desde componentes legítimos de Salesforce en la misma página y exfiltrar la información a un servidor externo controlado por atacantes.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
El riesgo aumenta con la falta de Ciclo de vida de desarrollo seguro que evalúa los componentes implementados en la plataforma.
Mayor riesgo cuando
Falta de CSP para bloquear la exfiltración de datos no autorizada y restringir la ejecución de secuencias de comandos externas no fiables.
Bajo o ningún riesgo cuando
Para minimizar el riesgo cuando Seguridad web Lightning (LWS) aún no está activada, las organizaciones deben aplicar estrictamente una Política de seguridad de contenido refinado (CSP) para bloquear la exfiltración de datos no autorizada y restringir la ejecución de secuencias de comandos externas no de confianza.
Además, la realización de Reseñas de seguridad rigurosas de todos los paquetes gestionados externos y componentes personalizados, combinados con Salesforce Shield Event Monitoring para detectar patrones de acceso a datos anómalos, proporciona una capa crítica de defensa contra posibles exploits de espacios de nombres cruzados.
Consideraciones de negocio e integración
La integración principal y las consideraciones de negocio al activar Lightning Web Security (LWS) implican realizar una auditoría integral de componentes Aura y externos existentes, ya que la transición de Lightning Locker puede requerir refactorizar JavaScript que manipula directamente el objeto de ventana global o utiliza "usestrict" de formas que entran en conflicto con los nuevos entornos sandbox de virtualización.
Remediación recomendada
Active Seguridad web Lightning en Configuración de sesión.
Directrices de revisión del estado de seguridad
Security Health Review inspecciona la Configuración de seguridad de la sesión para verificar que Lightning Web Security está en vigor para proteger componentes web y aura.
