この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

ISVforce ガイド

ISVforce ガイド: AppExchange ソリューションの作成および配布
クイックスタートチュートリアル: パートナーになり、簡単な AppExchange ソリューションを作成する
AppExchange ソリューションの設計と作成
AppExchange パートナーおよびソリューションのセキュリティ要件
セキュリティポリシーの要件
セキュアなコーディングの違反の防止
サードパーティエンドポイントからの JavaScript ファイルの読み込み
Lightning コンポーネントでのサードパーティ CSS の読み込み
CSS 外部コンポーネントの使用
Salesforce ドメインでの JavaScript の実行
デバッグ時の秘密データの露出
安全ではない方法による機密データの保存
既知の脆弱性があるソフトウェアの使用
本番でのサンプルコードの使用
オブジェクトレベルおよび項目レベルのアクセス設定のスキップ
Apex での共有ルールのスキップ
データベースクエリ構造が安全でないことが原因の SOQL インジェクション
クロスサイトリクエストフォージェリ
オープンリダイレクト
Lightning LockerService の無効化
Lightning コンポーネントでの不十分なエスケープ
コンポーネントの非同期コード
セキュア通信
B2C Commerce ソリューションの保護
第一世代管理パッケージの概要
第一世代管理パッケージで使用可能なコンポーネント
パッケージの API アクセスおよびダイナミック Apex アクセスについて
Group Edition と Professional Edition のアーキテクチャ上の考慮事項
接続アプリケーション
環境ハブ
開発者ハブ
パッケージエラーの通知
AppExchange ソリューションのパッケージ化とテスト
AppExchange セキュリティレビューの合格
AppExchange でのソリューションの公開
Checkout を使用した AppExchange での販売
AppExchange パートナーの Analytics によるパフォーマンスの監視
Channel Order App を使用した Salesforce への注文の報告
管理パッケージへのライセンスの管理
AppExchange ソリューションのライセンス付与
AppExchange ソリューションの無料トライアルの提供
AppExchange ソリューションの更新
Salesforce パートナー向けのユーザライセンスガイド
PDF

Lightning コンポーネントでの不十分なエスケープ

バンドル内の各コンポーネントは、親コンポーネントやアプリケーションによって提供された入力、または URL パラメータで提供された入力をサニタイズする責任があります。

個々のコンポーネントのセキュリティ境界は、コンポーネントバンドルです。バンドル内の各コンポーネントは、親コンポーネントやアプリケーションによって提供された入力、または URL パラメータで提供された入力をサニタイズする責任があります。onInit ハンドラでサニタイズしていない場合、公開コンポーネントまたはグループコンポーネントの属性には、攻撃者が制御する入力が含まれていることが考えられます。

入力をサニタイズしないと、クロスサイトスクリプト (XSS) 攻撃や URL リダイレクト攻撃を受ける可能性があります。

Aura の例

次の Aura コードの場合、コンポーネントは、グローバル属性のデータを参照し、エスケープが十分でない状態でそのデータをドキュメントオブジェクトモデル (DOM) に提供します。1 つのパラメータに、悪用されやすいタグ unescapedHTML があります。ハッカーやマルウェアは、HTML または JavaScript をビューに挿入して、クロスサイトスクリプト (XSS) 攻撃をトリガすることができます。
次の Aura コンポーネントコードは、unescapedHTML を使用していないため安全です。

詳細は、『Secure Coding Guide (セキュアなコーディングのガイド)』の「Lightning Security (Lightning のセキュリティ)」を参照してください。