Vous êtes ici :
Contrôle de sécurité Web Lightning
L'activation de Lightning Web Security (LWS) est un contrôle de sécurité qui remplace l'architecture Lightning Locker héritée par une sandbox moderne basée sur la virtualisation pour les composants Lightning.
Nom du contrôle
Sécurité Web Lightning
Configuration recommandée
- Utiliser Sécurité Web Lightning pour les composants Web Lightning et les composants Aura
Configuration>Paramètres de session>Utiliser Sécurité Web Lightning pour les composants Web Lightning et les composants Aura.
Vue d'ensemble du contrôle
L'activation de Lightning Web Security (LWS) est un contrôle de sécurité qui remplace l'architecture Lightning Locker héritée par une sandbox moderne basée sur la virtualisation pour les composants Lightning. Il isole les composants de différents espaces de noms dans leurs propres sandbox JavaScript et utilise des « distorsions » pour modifier dynamiquement les API potentiellement dangereuses, empêchant ainsi un code malveillant d'interférer avec d'autres composants ou d'accéder à des données non autorisées tout en maintenant des performances élevées.
Risque de sécurité s'il n'est pas configuré
Le fait de ne pas activer Lightning Web Security (LWS) augmente le risque d'exfiltration de données entre espaces de noms et d'attaques basées sur le DOM, car les composants de différentes sources peuvent ne pas avoir la virtualisation robuste nécessaire pour les empêcher d'accéder aux données privées des autres.
Scénarios de menace
Un utilisateur installe sans le savoir un composant Lightning tiers malveillant ou compromis qui, en l'absence de virtualisation de Lightning Web Security, peut contourner les frontières de l'espace de noms pour accéder à l'environnement JavaScript global et au DOM des autres composants. Cela permet au composant malhonnête de retirer en silence des données d'enregistrement confidentielles ou de capturer les entrées des utilisateurs à partir de composants Salesforce légitimes sur la même page, et d'exfiltrer les informations vers un serveur contrôlé par un assaillant externe.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Le risque augmente avec l'absence de cycle de vie de développement sécurisé qui évalue les composants déployés sur la plate-forme.
Risque plus élevé quand
Absence de CSP pour bloquer l'exfiltration de données non autorisée et restreindre l'exécution de scripts externes non approuvés.
Risque faible ou nul
Pour minimiser les risques lorsque Sécurité Web Lightning (LWS) n'est pas encore activée, les organisations doivent appliquer strictement une Stratégie de sécurité des contenus affinée (CSP) afin de bloquer l'exfiltration de données non autorisée et de restreindre l'exécution de scripts externes non approuvés.
De plus, l'exécution de contrôles de sécurité rigoureux de tous les packages gérés tiers et composants personnalisés, combinés à Salesforce Shield Event Monitoring pour détecter les modèles d'accès aux données anormaux, offre une couche de défense critique contre les potentiels exploits inter-espaces de noms.
Considérations relatives à l'entreprise et à l'intégration
L'intégration principale et les considérations métiers lors de l'activation de Lightning Web Security (LWS) impliquent d'effectuer un audit complet des composants Aura existants et tiers, car la transition depuis Lightning Locker peut nécessiter un refactoring JavaScript qui manipule directement l'objet global window ou utilise "use strict" de manière à entrer en conflit avec les nouvelles sandbox de virtualisation.
Remédiation recommandée
Activez Sécurité Web Lightning dans Paramètres de session.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de la sécurité inspecte les paramètres de sécurité de session pour vérifier si la Sécurité Web Lightning est en place pour sécuriser les composants Web et aura.
