Skip to main content

Premiers pas avec la sécurité Web Lightning

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Décrire la sécurité Web Lightning
  • Énumérer les avantages de la sécurité Web Lightning.

Qu’est-ce que la sécurité Web Lightning ?

Lorsque les administrateurs et les développeurs ajoutent de nouvelles fonctionnalités à leurs organisations, la sécurité de l’organisation est une priorité absolue. Les composants prédéfinis (de Salesforce ou d’AppExchange) et les composants personnalisés peuvent introduire des risquessusceptibles de compromettre une organisation par un code malveillant. 

Toutefois, la sécurité ne doit pas se faire au détriment des performances ou des restrictions fonctionnelles. Salesforce a donc créé Sécurité Web Lightning (LWS) pour vous aider à sécuriser votre organisation. LWS rend votre organisation plus fonctionnelle grâce à de nouveaux cas d’utilisation de composants Lightning. Mais avant d’en savoir plus sur LWS, examinons brièvement son prédécesseur, Lightning Locker.

Remarque

Remarque

Au fur et à mesure que vous parcourrez ce module, vous remarquerez peut-être une différence dans la graphie de Composants Web Lightning. Nous mettons une majuscule à tous les mots lorsque nous nous référons au modèle de programmation Composants Web Lightning. Nous mettons en minuscule le premier mot lorsque nous nous référons aux composants, eux-mêmes, en tant que composants Web de Lightning.

Lightning Locker

Si vous utilisez déjà des composants Lightning, vous connaissez Lightning Locker. Lightning Locker est la norme pour assurer la sécurité de vos composants Web Lightning et composants Aura en isolant les espaces de noms des composants Lightning dans leurs propres conteneurs et en appliquant les bonnes pratiques de codage. Par exemple, un composant nommé c-editor provient de l’espace de noms c et est isolé des composants de l’espace de noms ltngmu

Lightning Locker ne va pas disparaître immédiatement. La sécurité Web Lightning pour les composants Web Lightning (disponibilité générale) et pour Aura (bêta) est activée par défaut pour les organisations qui ne disposent pas de composants Web Lightning personnalisés ni de composants Aura. Cette activation s’inscrit dans le cadre du déploiement progressif de l’architecture LWS annoncée dans la version Spring ’22. La sécurité Web Lightning est l’avenir de la sécurité et des performances des composants. Ainsi, plus tôt vous pourrez passer à cet outil, plus votre organisation sera sûre et rapide.

Remarque

Remarque 

Ce module couvre la sécurité Web Lightning. Si vous souhaitez en savoir plus sur Lightning Locker, consultez le lien dans la section Ressources. 

La sécurité Web Lightning : la nouvelle génération

La sécurité Web Lightning est le « petit nouveau » des composants Lightning. Si vous utilisez des composants Lightning, vous savez que vos pages Salesforce peuvent contenir des composants d’un certain nombre d’autres sociétés. Et vos composants personnalisés se mêlent aux composants créés par Salesforce et dans les applications sur AppExchange que vous développez ou utilisez. 

En ayant de nombreux composants provenant de différentes sources dans votre environnement, y compris des bibliothèques tierces chargées à partir de ressources statiques, vous ouvrez la porte à des menaces potentielles. Un code malveillant dans un composant peut accéder à des objets globaux tels qu’une fenêtre, un document ou un élément. Il peut obtenir leurs ressources ou leurs données et semer la pagaille dans votre organisation. 

Sécurité via une sandbox JavaScript

L’architecture de la sécurité Web Lightning fonctionne dans votre environnement en isolant chaque composant dans une sandbox JavaScript dédiée à son espace de noms. Le code dangereux d’un composant ne peut accéder aux ressources d’aucun autre composant en dehors de son espace de noms.

Cas d’utilisation de la sécurité Web Lightning

Tandis que Lightning Locker et la sécurité Web Lightning bloquent ou modifient le comportement des API qui ne sont pas sécurisées, LWS propose ces utilisations supplémentaires qui améliorent les performances et la sécurité.

Utilisation de composants inter-espaces de noms
Les composants Web Lightning peuvent importer des composants ou des modules à partir de différents espaces de noms et les utiliser via la composition ou l’extension. Les composants sont isolés de manière transparente dans leur propre sandbox JavaScript d’espace de noms. Ni vu ni connu !

Interactions avec les objets globaux
Lightning Locker nécessite des wrappers sécurisés pour isoler les composants, ce qui peut limiter les performances et interdire l’utilisation de certaines bibliothèques tierces. La sécurité Web Lightning supprime le besoin de wrappers sécurisés en bloquant ou en modifiant le comportement des composants lorsqu’elle détecte du code non sécurisé. Elle le fait dans les sandbox où réside le code, ce qui ne peut donc pas causer de problèmes. Cela vous donne plus de liberté et de flexibilité pour utiliser des bibliothèques tierces dans vos composants.

Accès au contenu et à l’identité iframe
La sécurité Web Lightning permet aux composants Web Lightning d’accéder au contenu des éléments iframe, afin que vous puissiez utiliser d’autres fonctionnalités de développement Web qui ont été bloquées par Lightning Locker.

Performances améliorées
Comme il n’a pas besoin de wrappers sécurisés, le code dans les sandbox JavaScript de l’espace de noms s’exécute plus rapidement.

Meilleure prise en charge des bibliothèques JavaScript tierces
Dans LWS, les bibliothèques peuvent réaliser des actions, comme manipuler des objets globaux, car elles s’exécutent dans leurs propres sandbox JavaScript d’espace de noms. Ces modifications apportées aux objets globaux n’affecteront pas les composants des autres espaces de noms.

La sécurité Web Lightning évolue avec JavaScript
LWS a été conçue selon les dernières normes TC39 qui évoluent avec les plates-formes de navigateur, ce qui signifie qu’elle ne sera pas obsolète à mesure que la technologie évolue.

Dans l’unité suivante, nous évoquons comment fonctionne la sécurité Web Lightning, comment savoir si vous avez des composants qui seront impactés par LWS et comment activer LWS dans votre organisation.

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires