Você está aqui:
Controle de segurança da Web Lightning
Habilitar o Lightning Web Security (LWS) é um controle de segurança que substitui a arquitetura Lightning Locker legada por um sandbox moderno baseado em virtualização para componentes do Lightning.
Nome do controle
Lightning Web Security
Configuração recomendada
- Usar o Lightning Web Security para componentes da Web Lightning e componentes do Aura
Configuração>Configurações de sessão>Usar o Lightning Web Security para componentes da Web Lightning e componentes do Aura.
Visão geral de controle
Habilitar o Lightning Web Security (LWS) é um controle de segurança que substitui a arquitetura Lightning Locker legada por um sandbox moderno baseado em virtualização para componentes do Lightning. Ele isola componentes de diferentes namespaces dentro de seus próprios sandboxes JavaScript e usa "distorções" para modificar dinamicamente as APIs potencialmente inseguras, impedindo que o código mal-intencionado interfira em outros componentes ou acesse dados não autorizados enquanto mantém um alto desempenho.
Risco de segurança, se não configurado
Não habilitar o Lightning Web Security (LWS) aumenta o risco de exfiltração de dados entre namespaces e ataques baseados em DOM, pois os componentes de diferentes origens podem não ter a virtualização robusta necessária para impedir que eles acessem os dados privados uns dos outros.
Cenários de ameaça
Um usuário instala inadvertidamente um componente do Lightning de terceiros mal-intencionado ou comprometido que, na ausência da virtualização do Lightning Web Security, pode contornar limites de namespace para acessar o ambiente JavaScript global e o DOM de outros componentes. Isso permite que o componente inativo teste silenciosamente dados de registro confidenciais ou capture entradas do usuário de componentes do Salesforce legítimos na mesma página e exfiltre as informações para um servidor externo controlado por invasor.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
O risco aumenta com a ausência de Ciclo de vida de desenvolvimento seguro que avalia os componentes implantados na plataforma.
Risco maior quando
Falta de CSP para bloquear a exfilação de dados não autorizada e restringir a execução de scripts externos não confiáveis.
Baixo ou Sem risco quando
Para minimizar o risco quando o Lightning Web Security (LWS) ainda não está habilitado, as organizações devem aplicar estritamente uma Política de segurança de conteúdo refinado (CSP) para bloquear a exfiltração de dados não autorizada e restringir a execução de scripts externos não confiáveis.
Além disso, realizar Revisões de segurança rigorosas de todos os pacotes gerenciados de terceiros e componentes personalizados, combinados com o Monitoramento de evento do Salesforce Shield para detectar padrões de acesso a dados anômalos, fornece uma camada crítica de defesa contra possíveis explorações entre namespaces.
Considerações de negócios e integração
As principais considerações de integração e de negócios ao habilitar o Lightning Web Security (LWS) envolvem a realização de uma auditoria abrangente dos componentes existentes do Aura e de terceiros, pois a transição do Lightning Locker pode exigir o refatoramento de JavaScript que manipula diretamente o objeto de janela global ou usa "use strict" de maneiras que entram em conflito com os novos sandboxes de virtualização.
Remediação recomendada
Habilite o Lightning Web Security nas Configurações de sessão.
Diretriz de revisão de saúde de segurança
A Análise de integridade da segurança inspeciona as Configurações de segurança da sessão para verificar se o Lightning Web Security está em vigor para proteger componentes da Web e da aura.
