Вы находитесь здесь:
Управление веб-безопасностью Lightning
Включение Lightning Web Security (LWS) - это элемент управления безопасностью, который заменяет устаревшую архитектуру Lightning Locker современной безопасной средой на основе виртуализации для компонентов Lightning.
Управление именем
Веб-безопасность Lightning
Рекомендованная конфигурация
- Использование Lightning Web Security для веб-компонентов Lightning и компонентов Aura
Настройка>Параметры сеанса>Использование Lightning Web Security для веб-компонентов Lightning и компонентов Aura.
Общие сведения о контроле
Включение Lightning Web Security (LWS) - это элемент управления безопасностью, который заменяет устаревшую архитектуру Lightning Locker современной безопасной средой на основе виртуализации для компонентов Lightning. Он изолирует компоненты из разных пространств имен в собственных безопасных средах JavaScript и использует «искажения» для динамического изменения потенциально небезопасных API, предотвращая вмешательство вредоносного кода в другие компоненты или доступ к несанкционированным данным при сохранении высокой производительности.
Риск безопасности, если он не настроен
Отключение Lightning Web Security (LWS) повышает риск эксфильтрации данных межпространственных имен и атак на основе DOM, поскольку компоненты из разных источников могут не иметь надежной виртуализации, необходимой для предотвращения доступа к личным данным друг друга.
Сценарии угроз
Пользователь неосознанно устанавливает вредоносный или скомпрометированный сторонний компонент Lightning, который при отсутствии виртуализации Lightning Web Security может обойти границы пространства имен для доступа к глобальной среде JavaScript и DOM других компонентов. Это позволяет компоненту-мошеннику негласно скрести конфиденциальные данные записи или собрать вводные данные пользователей из легитимных компонентов Salesforce на одной странице и извлечь информацию на внешний сервер, управляемый злоумышленником.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Риск увеличивается из-за отсутствия жизненного цикла безопасной разработки, оценивающего компоненты, развернутые на платформе.
Повышенный риск при
Отсутствие CSP для блокировки несанкционированного извлечения данных и ограничения выполнения ненадежных внешних сценариев.
Низкий или нулевой риск при
Чтобы минимизировать риск, когда Lightning Web Security (LWS) еще не включена, организации должны строго внедрять уточненную политику безопасности содержимого (CSP), блокирующую несанкционированное извлечение данных и ограничивающую выполнение ненадежных внешних сценариев.
Кроме того, выполнение строгих проверок безопасности всех сторонних управляемых пакетов и настраиваемых компонентов в сочетании с мониторингом событий Salesforce Shield для обнаружения аномальных схем доступа к данным предоставляет критический уровень защиты от потенциальных эксплойтов пространства кросс-имен.
Рекомендации по бизнесу и интеграции
Основные рекомендации по интеграции и бизнесу при включении Lightning Web Security (LWS) включают выполнение комплексного аудита существующих Aura и сторонних компонентов, поскольку переход с Lightning Locker может потребовать рефакторинга JavaScript, который напрямую манипулирует объектом глобального окна или использует «использовать строго» способами, противоречащими новым безопасным средам виртуализации.
Рекомендованное исправление
Включите Lightning Web Security в параметрах сеанса.
Руководство по проверке состояния безопасности
Проверка состояния безопасности проверяет параметры безопасности сеанса для проверки наличия Lightning Web Security для защиты веб-компонентов и компонентов aura.
