Loading
Ställa in och bibehålla din Salesforce-organisation
Innehållsförteckningar
Filtrera efter (0)Lägg till
Välj filter

          Inga resultat
          Inga resultat
          Här är några söktips

          Kontrollera stavningen av dina nyckelord.
          Använd mer allmänna söktermer.
          Välj färre filter för att utöka din sökning.

            Sök hela Salesforce-hjälpen
            Sök hela Salesforce-hjälpen
            Inställningar för säkra anslutningar (HTTPS)

            Du är här:

            1. Salesforce-hjälp
            2. Dokument
            3. Ställa in och bibehålla din Salesforce-organisation

            Inställningar för säkra anslutningar (HTTPS)

            Detta ramverk för flerlagerskontroll stärker sessionens integritet genom att tillämpa kontinuerlig IP-validering för varje begäran och skydda sessionstokens från obehörig skriptåtkomst via attributet HTTPOnly.

            Kontrollnamn

            Inställningar för säkra anslutningar (HTTPS)

            Rekommenderad konfiguration

            • Aktivera tvångsinloggning efter inloggning som användare
            • Aktivera Kräv HTTPOnly-attribut
            • Använd intervall för inloggnings-IP för varje begäran
            • Aktivera Använd inläggsbegäran för att skicka sessionsinformation för korsdomänsessioner

            Inställningar>Sessionsinställningar>Tvinga återinloggning efter inloggning som användning|Kräv HTTPOnly-attribut|inloggnings-IP-intervall för varje begäran|Använd inläggsbegäran för att skicka sessionsinformation för korsdomänsessioner.

            Kontrollöversikt

            Detta ramverk för flerlagerskontroll stärker sessionens integritet genom att tillämpa kontinuerlig IP-validering för varje begäran och skydda sessionstokens från obehörig skriptåtkomst via attributet HTTPOnly. Dessutom förhindrar det sessionsläckage under korsdomännavigering genom att använda POST-begäranden och säkerställer administrativ ansvarighet genom att kräva en ny inloggning direkt efter en "Logga in som"-session.

            Säkerhetsrisk om den inte är konfigurerad

            Att inte slå på dessa kontroller exponerar sessioner via Cross-Site Scripting-attacker (XSS) och URL-läckage under korsdomännavigering, vilket ökar risken för sessionsövertagande avsevärt. Organisationen står dessutom inför oauktoriserad åtkomstbeständighet om användare flyttar till opålitliga nätverk mitt i sessionen eller om administratörer upprätthåller aktiva sessioner efter att ha utgett sig för att vara användare utan att återautentisera.

            Hotscenarier

            En attackerare utnyttjar en sårbarhet för XSS (cross-site scripting) för att stjäla en sessionscookie som saknar HTTPOnly-skydd och behåller sedan sömlöst åtkomst från ett opålitligt nätverk eftersom systemet inte återbekräftar användarens IP-adress vid varje begäran. Under tiden läcker känsliga sessions-ID:n genom webbläsarloggar under korsdomännavigering och ett kapat administratörskonto förblir aktivt och oemotsagt långt efter att en "Logga in som"-session har avslutats.

            Uppskattat CVSS-betygintervall

            Kritisk (9,0-10,0).

            Att tänka på vad gäller riskpåverkan

            Antalet användare, olika profiler tilldelade till användarna och data eller objekt som varje profil har åtkomst till.

            Högre risk när

            Risken för att lämna dessa inställningar inaktiverade ökar avsevärt på grund av att det saknas en robust innehållsäkerhetspolicy (CSP), vilket gör systemet sårbart för skript som enkelt kan skrapa sessionscookies om attributet HTTPOnly saknas.

            Låg eller ingen risk när

            För att minska riskerna när dessa specifika sessionssäkerhetsinställningar inte är aktiverade kan du implementera en "Försvar på djupet"-strategi med dessa kompensationskontroller:

            • Obligatorisk flerfaktorsautentisering (MFA): Även om ett sessions-ID läcker via en URL (saknar POST) eller stjäls via ett skript (saknar HTTPOnly), kommer en attackerare fortfarande att uppmanas till en andra faktor om de försöker utföra högriskåtgärder eller återupprätta åtkomst.
            • Striktare sessionstimeout: Om du inte tvingar fram en återinloggning efter en "Logga in som"-session begränsar att minska den globala sessionens timeout (till exempel till 15 eller 30 minuter) möjligheten för en obevakad eller kapad session att fortsätta vara giltig.
            • IP-intervall för inloggning på profilnivå: "Tillämpa för varje begäran" är idealiskt, men att ange strikta IP-intervall på profilnivå säkerställer fortfarande att den inledande sessionen endast kan etableras från ett pålitligt nätverk.
            • Robust innehållsäkerhetspolicy (CSP): En välkonfigurerad CSP kan förhindra skadliga skript från att köras i första hand, vilket avsevärt minskar risken för att inte ha attributet HTTPOnly på dina cookies.
            • Kodning av strikt sanering av indata och utdata: Genom att förhindra Cross-Site Scripting (XSS) på kodnivå (LWC/Aura-komponenter) tar du bort den primära metoden som en attackerare skulle använda för att stjäla sessionstokens som saknar HTTPOnly-skydd.

            Att tänka på vad gäller affärer och integration

            Att implementera dessa kontroller ökar säkerheten avsevärt, men frekventa återinloggningar efter supportsessioner kan störa mobila användare om deras IP-adresser roterar under en session.

            Rekommenderad åtgärd

            Implementera säkra anslutningsinställningar på plattformen.

            Vägledning för granskning av säkerhetshälsa

            Säkerhetshälsogranskning kontrollerar om inställningarna för säker anslutning tillämpas i organisationen för att säkra sessionerna.

            Se även:

             
            Laddar
            Salesforce Help | Article