Política de segurança de conteúdo (CSP) mais rígida alterada de uma atualização crítica para uma configuração de organização

Essa configuração habilita uma Política de segurança de conteúdo (CSP) mais rígida, que proíbe o uso de unsafe-inline para script-src para mitigar o risco de ataques de script entre sites. Na versão anterior, a CSP mais rígida era controlada pela atualização crítica "Habilitar política de segurança de conteúdo mais rígida para componentes do Lightning". Alteramos a atualização crítica para uma configuração de organização para dar a você maior controle sobre sua habilitação.

Onde: Essa configuração habilita a CSP mais rígida para:

  • Lightning Experience
  • Aplicativo Salesforce
  • Aplicativos autônomos criados por você (por exemplo, myApp.app)

Essa configuração não afeta:

  • Salesforce Classic
  • Todos os aplicativos para Salesforce Classic, como o Salesforce Console no Salesforce Classic
  • Comunidades
  • O Lightning Out, que permite executar componentes do Lightning em um contêiner fora dos aplicativos do Lightning, como componentes do Lightning no Visualforce e em comunidades baseadas no Visualforce. O contêiner define as regras de CSP.

Por quê: A configuração permite que você continue trabalhando com bibliotecas de terceiros que usam unsafe-inline para script-src. Quando a configuração é habilitada, você não pode usar código que carrega JavaScript com tags de script nem manipuladores de evento que usam JavaScript em linha. Por exemplo, esse código não é permitido.

<button onclick="doSomething()"></button>

Como: Essa configuração é automaticamente habilitada, exceto se a sua organização corresponde a qualquer um destes critérios:

  • Você criou um componente personalizado do Lightning
  • Você instalou um pacote contendo um componente do Lightning

Para desabilitar a CSP mais rígida:

  1. Em Configuração, insira Sessão na caixa Busca rápida e selecione Configurações de sessão.
  2. Desmarque Habilitar política de segurança de conteúdo mais rígida.
  3. Clique em Salvar.