Luotetun URL-osoitteen hallinta

Ohjaimen nimi

Luotettujen URL-osoitteiden ja CSP-asetusten hallinta

Suositeltu kokoonpano

• Määritä luotetut URL-osoitteet ja toimialueet, jotka vuorovaikuttavat käyttäjien ja verkoston kanssa.
• CSP-kontekstin määrittäminen kaikille

Määritykset>Luotetut URL-osoitteet>Uudet luotetut URL-osoitteet>CSP-asetukset.

Ohjauksen yleiskatsaus

Määritä URL-osoitteet, joihin Trust käyttää käyttäjiä ja verkostoja. Käytä Content Security Policy (CSP) -direktiivejä hallitaksesi, minkätyyppisiä resursseja Lightning, kolmansien osapuolten API-rajapinnat ja WebSocket-yhteydet voivat ladata kustakin luotetusta URL-osoitteesta.

Tietoturvariski, jos ei määritetty

Jos luotettuja URL-osoitteita ja CSP-asetuksia ei ole määritetty oikein, Salesforce-ympäristö on erittäin altis sivustojen väliselle komentosarjalle (XSS) ja datan suodattamiselle, koska haitalliset ulkoiset komentosarjat tai valtuuttamattomat API-päätepisteet voivat vuorovaikuttaa sovellusalustan kanssa valittamatta.

Uhkien skenaariot

Hyökkääjä hyödyntää Cross-Site Scripting (XSS) -haavoittuvuutta syöttääkseen pahantahtoisen komentosarjan, joka hiljaa kaappaa luottamukselliset tietueen tiedot ja istuntotunnukset suoraan käyttäjän selaimesta. Koska ympäristöllä ei ole tarkasti määritettyä Content Security Policy (CSP) -käytäntöä ja luotettuja URL-osoitteita, sovellusalusta ei voi estää komentosarjan yrittämistä suodattaa näitä varastettuja tietoja valtuuttamattomaan ulkoiseen komento- ja ohjauspalvelimeen.

Arvioitu CVSS-pistealue

Kriittinen (9.0–10.0).

Riskien vaikutuksissa huomioitavia asioita

Luotetun URL-osoitteen isännöimä data.

Korkeampi riski, kun

Virheellisten luotettujen URL-osoitteiden ja CSP-kokoonpanojen riski lisääntyy merkittävästi, koska turvallisia koodauskäytäntöjä ei ole, esimerkiksi käyttäjien syöttämiä tietoja ei voi puhdistaa tai mukautettujen komponenttien tuloksia ei voi koodata oikein.

Lisäksi CSP:n rikkomuslokien aktiivisen valvonnan puute ja Lightning Web Security (LWS) -ominaisuuden puute estävät organisaatiota havaitsemasta tai eristämästä haitallisia komentosarjoja, jotka ohittavat heikentyneet selaintason puolustukset onnistuneesti.

Matala riski tai ei riskiä, kun

Organisaatioiden tulisi noudattaa Lightning Web Security (LWS)- tai Lightning Locker -käytäntöjä tarjotakseen suojatun sandboxin, joka eristää mukautetut komponentit ja estää nimitilojen välisen datan käytön, jotta luotettujen URL-osoitteiden ja CSP-asetusten puuttuminen tai määritys epäonnistuu.

Lisäksi monimenetelmäisen todennuksen (MFA) ja tiukkojen suojattujen koodauskäytäntöjen toteuttaminen — kuten pakollinen tuloskoodaus ja säännöllinen staattinen koodianalyysi — toimii kriittisenä "syvällisenä puolustuskerroksena", joka estää pahantahtoiset komentosarjat ja estää valtuuttamattoman datan suodattamisen.

Liiketoiminnassa ja integraatiossa huomioitavia asioita

Integraatio ulkoisten sivustojen kanssa.

Suositeltu korjaus

Määritä ja ota käyttöön luotettu URL ulkoiselle sivuston yhteydelle.

Tietoturvan terveystarkastuksen ohjeet

Suojauksen terveystarkastus tarkastaa sovellusalustalla määritetyn luotetun URL-osoitteen tunnistaakseen mahdollisesti tehottomat luotetun URL-osoitteen määritykset, kuten liian sallitun URL-osoitteen, joka käyttää yleismerkkejä tai URL-osoitteen, jolla on suojaamaton protokolla (HTTP).