安全连接 (HTTPS) 设置控制

控件名称

安全连接 (HTTPS) 设置

推荐配置

• 启用以用户身份登录后强制重新登录
• 启用需要 HTTP Only 属性
• 在每个请求上强制执行登录 IP 范围
• 启用使用帖子请求发送跨域会话的会话信息

设置>会话设置>登录后强制重新登录|每次请求都需要 HTTP Only 属性|登录 IP 范围|使用发布请求发送跨域会话的会话信息。

控制概览

这种多层控制框架通过为每个请求强制执行连续的 IP 验证并通过 HTTPOnly 属性屏蔽会话令牌免受未经授权的脚本访问，从而加强了会话的完整性。此外，它通过使用 POST 请求来防止跨域导航期间的会话泄露，并通过在任何“登录身份”会话后立即要求重新登录来确保管理问责制。

安全风险（如果未配置）

如果不打开这些控制，会话就会在跨域导航期间受到跨站点脚本 (XSS) 攻击和 URL 泄露，从而大大增加会话劫持的风险。此外，如果用户在会话期间移动到不可信网络，或者如果管理员在冒充用户而不重新进行身份验证后保持活动会话，则组织将面临未经授权的访问持久性。

威胁场景

攻击者利用跨站点脚本 (XSS) 漏洞窃取缺少 HTTPOnly 保护的会话 Cookie，然后无缝维护来自不可信网络的访问，因为系统无法在每次请求时重新验证用户的 IP 地址。同时，在跨域导航期间，敏感会话 ID 通过浏览器日志泄露，被劫持的管理员帐户在“登录身份”会话结束后很长时间内仍处于活动状态，并且未受到质疑。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

用户数量、分配给用户的各种简档以及每个简档有权访问的数据或对象。

高风险

由于缺乏强大的内容安全策略 (CSP)，禁用这些设置的风险会显著增加，这使得系统容易受到脚本的攻击，如果缺少 HTTPOnly 属性，这些脚本可以轻松删除会话 Cookie。

低风险或无风险

要在未启用这些特定会话安全设置时降低风险，您可以使用以下补偿控制实施“深度防御”策略：

• 强制多重身份验证 (MFA)：即使会话 ID 通过 URL 泄露（缺少 POST）或通过脚本被盗（缺少 HTTP Only），如果攻击者试图执行高风险操作或重新建立访问权限，他们仍然会受到第二个因素的挑战。
• 更严格的会话超时：如果您未在“登录身份”会话后强制重新登录，减少全局会话超时（例如，15 或 30 分钟）会限制无人参与或劫持会话的业务机会窗口保持有效。
• 简档级登录 IP 范围：虽然“对每个请求强制执行”是理想的选择，但在简档级别设置严格的 IP 范围仍然可以确保只能从受信网络建立初始会话。
• 强大的内容安全策略 (CSP)：配置良好的 CSP 可以首先防止恶意脚本执行，这大大降低了 Cookie 中没有 HTTPOnly 属性的风险。
• 严格的输入消毒和输出编码：通过在代码级别（LWC/Aura 组件）阻止跨站点脚本 (XSS)，您可以删除攻击者用来窃取缺乏 HTTP Only 保护的会话令牌的主要方法。

业务和集成注意事项

实施这些控制可以显著提高安全性，但是如果移动用户的 IP 地址在会话期间轮换，则在支持会话后频繁重新登录可能会中断他们的访问。

建议的补救措施

在平台上实施安全连接设置。

安全健康审查指导

安全运行状况检查是否在组织中强制执行安全连接设置来保护会话。