Apex 開発および Visualforce 開発のセキュリティのヒント

セキュリティについて

Apex および Visualforce ページの強力な組み合わせにより、Lightning Platform 開発者は、Salesforce にカスタム機能およびビジネスロジックを提供したり、Lightning Platform 内部で実行する新しいスタンドアロン製品を作成したりできます。ただし、プログラミング言語と同様、開発者はセキュリティ関連の不備について認識する必要があります。

Salesforce は、複数のセキュリティ防御を Lightning Platform に統合しました。ただし、不注意な開発者が組み込み防御をスキップし、アプリケーションと顧客をセキュリティ上のリスクにさらしている場合があります。開発者が Lightning Platform 上で犯す多くのコーディングエラーは、一般的な Web アプリケーションのセキュリティ脆弱性と類似していますが、一部のコーディングエラーは Apex 固有のものです。

AppExchange のアプリケーションを認証するには、説明されているセキュリティ上の弱点について開発者が学習および理解しておくことが重要です。詳細は、Salesforce Developers で Lightning Platform のセキュリティリソースのページ (https://developer.salesforce.com/page/Security) を参照してください。

静的リソースへのオープンリダイレクト

URL リダイレクトは、ユーザーを自動的に別の Web ページに送ります。多くの場合、リダイレクトは、Web サイトへの移動をガイドする場合や、同じ所有者に属する複数のドメイン名で 1 つの Web サイトを参照する場合に使用されます。開発者にとっては残念なことですが、攻撃者は適切に実装されていない URL リダイレクトを悪用できます。オープンリダイレクト (「任意のリダイレクト」とも呼ばれる) は、よく知られている Web アプリケーションの脆弱性です。ユーザーによって制御される値で決��る場所にアプリケーションがリダイレクトします。

「アプリケーションのカスタマイズ」権限を持つシステム管理者のみが組織内で静的リソースをアップロードできます。この権限を持つシステム管理者は、悪意のあるコンテンツが静的リソースに含まれていないことを注意して確認する必要があります。サードパーティから取得した静的リソースに備える方法についての詳細は、「iframe を使用した信頼されないサードパーティコンテンツの参照」を参照してください。