Skip to main content

Proteger sus páginas web y de destino

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

  • Usar el cifrado SSL para las interacciones con páginas
  • Crear métodos de seguridad de formulario para evitar los envíos malintencionados

Proteger sus páginas

Ya hemos hablado antes en este módulo sobre las funciones de seguridad y las claves de cifrado integradas en Marketing Cloud Engagement. Es posible que, como desarrollador preocupado por la seguridad, también esté ansioso por proteger sus páginas web y de destino en Marketing Cloud Engagement. Después de todo, ¿para qué sirve toda esta seguridad si dejamos que cualquiera (o cualquier bot) pase por la puerta? A continuación, explicaremos cómo proteger sus páginas.

Usar certificados SSL

Marketing Cloud Engagement no solo gestiona mensajes: las páginas web permiten a los suscriptores enviar información, suscribirse a comunicaciones o ver mensajes fuera de su cliente de email. Para asegurar una experiencia lo más segura posible, recomendamos usar certificados SSL para proteger las comunicaciones web. Estos certificados pueden proteger:

  • Las URL de CloudPage
  • Las páginas de destino de su cuenta
  • Los vínculos incluidos en los mensajes de email de Email Studio
  • El contenido de la cartera

Además, los certificados SSL agregan una capa de seguridad al tráfico web para ayudar a evitar que partes externas intercepten información confidencial. Genial. ¡Es todo un alivio!

¿Necesita un certificado? Bueno, puede comprar sus propios certificados o dejar que Marketing Cloud Engagement gestione las compras en su lugar. Si compra sus certificados a través de Marketing Cloud Engagement, podrá usarlos para proteger tanto las páginas como el contenido. Además, Marketing Cloud Engagement gestiona y renueva los certificados sin ningún costo adicional. Si compra los certificados por sí mismo, no podrá usarlos para proteger las páginas (no imágenes).

Nota

Recomendamos usar certificados válidos durante un año, como máximo. ¿Por qué? Lo adivinó: Son más seguros. 

Gestionar envíos de formularios

Cuando use integraciones de API o CloudPages para capturar información de los suscriptores, es importe que las gestione teniendo en cuenta la seguridad. Estamos aquí para ayudarle. Consulte estas sugerencias que le ayudarán a proteger sus datos de formulario. (Recuerde que estos no son los únicos factores de seguridad que debe tener en cuenta, pero son un buen punto de partida en Marketing Cloud Engagement).

  • Si incluye cadenas de consulta en sus páginas, no transfiera los valores SubscriberID, SubscriberKey ni ContactKey sin cifrar. Además, aplique cifrado en lugar de codificación Base64 o StringtoHex para transferir valores desde los campos. La codificación puede decodificarse fácilmente, lo que no ocurre con el cifrado.
  • Cualquier procesamiento y validación de campos debe producirse en el lado del servidor. También recomendamos usar dos o más parámetros de cadena de consulta para comprobar que el mismo suscriptor está interactuando con la página antes de presentar datos.
  • Las páginas de aplicación que cree requerirán autenticación. Recomendamos usar la función AMPscript MicrositeURL para cifrar los parámetros de cadena de consulta.
  • Cualquier página de destino pública no autenticada o no solicitada debe incluir una cláusula global IF/THEN que compruebe si hay parámetros obligatorios vacíos. Este paso evita que se realice ningún procesamiento cuando alguien intenta acceder a la página directamente, en lugar de pasar por el flujo asignado.
  • Active los encabezados de seguridad de sus páginas siguiendo esta muestra de JavaScript en el lado del servidor.

Ejemplo: Activar encabezados de seguridad de una página web

<script runat=server>
   Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
   Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
   Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
   Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
   Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
   Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>

Este ejemplo evita problemas comunes de formularios web, como la secuencia de comandos de sitio cruzada o la inyección de SQL.

¿Quiere saber más? La siguiente unidad incluye recomendaciones y las mejores prácticas de seguridad de datos.

Recursos

Comparta sus comentarios de Trailhead en la Ayuda de Salesforce.

Nos encantaría saber más sobre su experiencia con Trailhead. Ahora puede acceder al nuevo formulario de comentarios en cualquier momento en el sitio de Ayuda de Salesforce.

Más información Continuar a Compartir comentarios