Apex 開発および Visualforce 開発のセキュリティのヒント

セキュリティについて

Apex および Visualforce ページの強力な組み合わせにより、Lightning Platform 開発者は、Salesforce にカスタム機能およびビジネスロジックを提供したり、Lightning Platform 内部で実行するまったく新しいスタンドアロン製品を作成することができます。ただし、プログラミング言語と同様、開発者はセキュリティ関連の不備について認識する必要があります。

Salesforce は、複数のセキュリティ防御を Lightning Platform 自体に統合しました。ただし、不注意な開発者は多くの場合に組み込み防御をスキップし、アプリケーションと顧客をセキュリティ上のリスクにさらしている場合があります。開発者が Lightning Platform 上で犯す多くのコーディングエラーは、一般的な Web アプリケーションのセキュリティ脆弱性と類似していますが、一部のコーディングエラーは Apex 固有のものです。

AppExchange のアプリケーションを認証するには、開発者がここで説明するセキュリティ上の弱点について学習および理解しておくことが重要です。詳細は、https://developer.salesforce.com/page/Security にある Salesforce Developers の Lightning Platform セキュリティリソースのページを参照してください。

静的リソースへのオープンリダイレクト

URL リダイレクトは、ユーザを自動的に別の Web ページに送ります。多くの場合、リダイレクトは、Web サイトへの移動をガイドする場合や、同じ所有者に属する複数のドメイン名で 1 つの Web サイトを参照する場合に使用されます。���発者にとっては残念なことですが、攻撃者は適切に実装されていない URL リダイレクトを悪用できます。オープンリダイレクト (「任意のリダイレクト」とも呼ばれる) は、よく知られている Web アプリケーションの脆弱性です。ユーザによって制御される値で決まる場所にアプリケーションがリダイレクトします。

「アプリケーションのカスタマイズ」権限を持つシステム管理者のみが組織内で静的リソースをアップロードできます。この権限を持つシステム管理者は、悪意のあるコンテンツが静的リソースに含まれていないことを注意して確認する必要があります。サードパーティから取得した静的リソースに備える方法についての詳細は、「iframe を使用した信頼されないサードパーティコンテンツの参照」を参照してください。