Utilizar la nueva política de seguridad de contenido para proteger mejor su comunidad

Los nuevos parámetros le proporcionan la opción de aplicar diferentes niveles de Política de seguridad de contenido (CSP) en su comunidad, incluyendo CSP estricta. Los estándares de CSP estricta le protegen y protegen a sus clientes permitiendo mostrar contenido solo desde hosts externos incluidos explícitamente en la lista blanca en sus comunidades y bloqueando todas las secuencias de comandos en línea.

Dónde: Esta función está disponible en comunidades Lightning a las que se accede mediante Lightning Experience y Salesforce Classic y está disponible en Essentials Edition, Enterprise Edition, Performance Edition, Unlimited Edition y Developer Edition.

Por qué: El acceso sin restricciones por hosts externos en un sitio no es la forma más segura de hacer negocio. Salesforce siempre tuvo formas de incluir hosts externos en la lista blanca a pesar de Sitios de confianza CSP. Sin embargo, hasta ahora estuvimos algo más relajados en Comunidades porque eran mayormente independientes. Con la incorporación de funciones como Gestión de contenido, se requiere un mayor control. Mientras recomendamos CSP estricta, puede elegir una opción menos segura que le permite continuar a ejecutar secuencias de comando en línea con o sin lista blanca.
Nota

Nota

Con la incorporación de esta función, eliminamos la opción “Activar CSP más estricto para componentes Lightning en Comunidades” en su Consola de actualizaciones clave.

Cómo: Con Winter ‘19, estableceremos comunidades existentes automáticamente en la configuración de CSP menos restrictiva para garantizar que sigan funcionando. Las nuevas comunidades se establecerán automáticamente en CSP estricta. Puede elegir un nivel diferente si es necesario.

Pantalla Configuración de seguridad con opciones CSP mostrando

Tabla 1. Opciones de la política de seguridad de contenidos
Nivel de seguridad de secuencias de comandos Descripción
CSP estricta: Bloquear las secuencias de comandos en línea y el acceso a todos los hosts externos Recomendado. Garantiza que no se puede ejecutar ninguna secuencia de comandos en su sitio Solo los recursos no de secuencia de comandos, como imágenes, de hosts externos aprobados se pueden mostrar cuando se agregan a la lista Sitios de confianza de CSP en configuración de organización de Salesforce.
Permitir las secuencias de comandos en línea y el acceso a hosts externos en la lista blanca Los hosts incluidos en lista blanca con Agregar sitio de confianza pueden ejecutar secuencias de comandos en línea en su comunidad. Los recursos no de secuencia de comandos, como imágenes, deben incluirse en lista blanca por separado a través de Sitios de confianza de CSP en su configuración de organización de Salesforce.
Permitir las secuencias de comandos en línea y el acceso a cualquier host externo (Predeterminado) La configuración menos segura, pero garantiza que su comunidad funciones según se diseñó hasta que pueda revisar y actualizar su sitio.
Nota

Nota

Esta opción de CSP se retirará en la versión Winter ‘20. Comience a planificar esa transición ahora para evitar problemas más tarde.