Use a nova política de segurança de conteúdo para proteger melhor a sua comunidade

As novas configurações lhe dão a opção de aplicar diferentes níveis de política de segurança de conteúdo (CSP) à sua comunidade, incluindo CSP rígida. Padrões de CSP rígida protegem você e seus clientes, permitindo conteúdo somente de hosts externos explicitamente incluídos na lista de permissões para exibição nas suas comunidades e bloqueando todos os scripts em linha.

Onde: Esse recurso está disponível nas comunidades do Lightning acessadas por meio do Lightning Experience e do Salesforce Classic e disponíveis nas edições Essentials, Enterprise, Performance, Unlimited e Developer.

Por quê: Acesso irrestrito por hosts de terceiros a um site não é a maneira mais segura de fazer negócios. O Salesforce sempre teve maneiras de colocar hosts externos na lista de permissões por meio de Sites confiáveis da CSP. Porém, até o momento, éramos um pouco menos rígidos em Comunidades porque elas eram mais autônomas. Com a adição de recursos como Gerenciamento de conteúdo, mais controle é necessário. Embora nossa recomendação seja usar CSP rígida, você pode escolher uma opção menos segura que lhe permita continuar executando scripts em linha com ou sem colocar na lista de permissões.
Nota

Nota

Com a adição desse recurso, removemos a opção "Habilitar CSP mais rígida para componentes do Lightning em comunidades" no seu Console de atualização crítica.

Como: Com a versão Winter '19, definiremos automaticamente as comunidades existentes para a configuração de CSP menos restritiva para garantir que continuem funcionando. Novas comunidades serão definidas automaticamente como CSP rígida. Você pode escolher um nível diferente, se necessário.

A tela Configuração de segurança com opções de CSP exibidas

Tabela 1. Opções da política de segurança de conteúdo
Nível de segurança do script Descrição
CSP rígida: Bloquear scripts em linha e acesso a script a todos os hosts de terceiros Recomendado. Garante que nenhum script em linha possa ser executado no seu site. Somente recursos não de script, como imagens, de hosts de terceiros aprovados podem ser exibidos quando adicionados à lista de Sites confiáveis da CSP nas configurações da organização do Salesforce.
Permitir scripts em linha e acesso a script a hosts de terceiros na lista de permissões Hosts incluídos na lista de opções com Adicionar site confiável podem executar scripts em linha na sua comunidade. Recursos não de script, como imagens, devem ser colocados separadamente na lista de permissões por meio de Sites confiáveis da CSP nas suas configurações de organização do Salesforce.
Permitir scripts em linha e acesso a script a qualquer host de terceiros (Padrão) A configuração é menos segura, mas garante que a sua comunidade trabalhe conforme o projetado até que você possa revisar e atualizar seu site.
Nota

Nota

Essa opção de CSP será descontinuada na versão Winter '20. Comece a planejar para a transição agora para evitar problemas mais tarde.