引用者 URL 保护

控件名称

来源地址 URL 保护

推荐配置

• HTTP 引用者策略 - 选择“strict-origin-when-cross-origin”

设置>会话设置>引用 URL 保护>包含引用者策略 HTTP 标题>HTTP 引用者策略>严格来源何时跨来源。

控制概览

Salesforce 中的引用者 URL 保护控制（在会话设置中找到）使引用者策略 HTTP 标题能够在用户单击链接或加载资源时调节与外部网站共享的内部 URL 信息的数量。通过选择安全策略，例如“origin-when-cross-origin”，浏览器将被指示仅向第三方站点提供 Salesforce 域名，从而有效地屏蔽敏感数据，例如组织 ID、记录 ID 或完整 URL 路径中包含的会话参数。

安全风险（如果未配置）

不启用引用者 URL 保护会增加敏感元数据泄露的风险，因为每当单击出站链接或加载第三方资源时，浏览器都会将完整的 Salesforce URL（包括组织 ID、记录 ID 和专用参数）发送到外部 Web 服务器。此泄露允许外部行为者记录和分析您的内部数据结构，这些数据结构可用于有针对性的网络钓鱼、社交工程或映射受保护的内部记录层次结构。

威胁场景

员工在查看敏感财务记录时单击外部链接，导致浏览器将完整的 Salesforce URL（包括唯一的记录 ID）发送到目标 Web 服务器的日志。监控这些日志的威胁行为者使用此元数据来识别您的内部记录结构，并发动有针对性的网络钓鱼攻击，该攻击专门引用用户刚刚访问的专用记录。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

主要风险影响是未经授权将公司内部标识符和记录级元数据泄露给外部实体。

高风险

元数据泄露的风险因缺乏警告或阻止外部重定向策略而显著放大，该策略允许用户直接导航到不受信任的第三方站点，而没有任何关于其会话信息被共享的警报。

低风险或无风险

为了在未完全启用全局引用者 URL 保护时最大限度地减少元数据泄露的风险，组织可以实施用于重定向的受信 URL，以在用户导航到不受信外部域之前阻止或警告他们。

业务和集成注意事项

实施严格的推荐人 URL 保护可能会中断外部分析、市场营销跟踪器或传统的第三方集成，这些集成依赖于解析完整的 Salesforce URL 路径来识别特定的记录或在跨域导航期间维护上下文。

建议的补救措施

在交叉来源时，启用严格来源的 HTTP 引用者策略。

安全健康审查指导

安全运行状况检查会话设置转诊策略的会话设置，以配置为严格来源 - 何时跨来源，从而与行业最佳实践保持一致。