Skip to main content

Proteger suas páginas da Web e de destino

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Usar criptografia SSL para interações de página.
  • Criar métodos de segurança de formulário para evitar envios maliciosos.

Proteger suas páginas

Falamos sobre os recursos de segurança e as chaves de criptografia internas do Marketing Cloud Engagement anteriormente neste módulo. E, como é um desenvolvedor consciente de segurança, você provavelmente está ansioso para proteger suas páginas da Web e de destino no Marketing Cloud Engagement também. Afinal de contas, qual é o objetivo de toda essa segurança se você deixa todo mundo (ou qualquer bot) entrar? Veja como bloquear suas páginas.

Usar certificados SSL

O Marketing Cloud Engagement lida com mais do que apenas mensagens: as páginas da Web permitem que os assinantes enviem informações, assinem comunicações ou exibam mensagens fora do cliente de email. Para garantir a experiência mais segura, recomendamos usar certificados SSL para proteger comunicações baseadas na Web. Esses certificados podem proteger:

  • URLs do CloudPage
  • Páginas de destino em sua conta
  • Links incluídos em mensagens de e-mail do Email Studio
  • Conteúdo do portfólio

Além disso, os certificados SSL adicionam uma camada de criptografia ao tráfego da Web e ajudam a impedir que pessoas de fora interceptem informações confidenciais. Uau! Que alívio.

Precisa de um certificado? Bem, você pode comprar seus próprios certificados ou permitir que o Marketing Cloud Engagement gerencie essas compras para você. Se seus certificados forem comprados pelo Marketing Cloud Engagement, você poderá usá-los para proteger as páginas e o conteúdo. Além disso, o Marketing Cloud Engagement gerencia e renova os certificados sem custo adicional. Se você compra seus próprios certificados, pode usá-los apenas para proteger páginas (não imagens).

Nota

Nós recomendamos usar certificados que sejam válidos por um ano ou menos. Por quê? É claro que você já sabe a resposta: Eles são mais seguros. 

Gerenciar envios de formulário

Ao usar as integrações do CloudPages ou da API para capturar as informações do assinante, é importante lidar com isso com a confiança e a segurança em mente. Estamos aqui para ajudar. Confira essas dicas para ajudá-lo a proteger seus dados de formulário. (E lembre-se: esses não são os únicos fatores de segurança que você deve levar em conta, mas são um bom lugar para começar no Marketing Cloud Engagement.)

  • Se você incluir sequências de caracteres de consulta em suas páginas, não passe valores de subscriberID, SubscriberKey ou ContactKey visíveis. Além disso, use criptografia, não a codificação de Base64 ou StringtoHex, para transmitir valores de campos. A codificação pode ser facilmente descodificada; não é o caso da descriptografia.
  • Todo o processamento e a validação de campos deve ocorrer no lado do servidor. Também recomendamos usar dois ou mais parâmetros de sequência de caracteres de consulta para verificar se o mesmo assinante está interagindo com a página antes de apresentar dados.
  • As páginas de aplicativos que você cria devem exigir autenticação. Recomendamos usar a função MicrositeURL do script AMP para criptografar parâmetros de sequência de caracteres de consulta.
  • Todas as páginas de destino públicas não autenticadas ou que não sejam de aplicativos devem incluir uma cláusula IF/THEN global que verifica os parâmetros obrigatórios vazios. Essa etapa impede o processamento quando alguém tenta acessar a página diretamente, em vez de pelo fluxo atribuído.
  • Ative cabeçalhos de segurança em suas páginas usando essa amostra de JavaScript do lado do servidor.

Exemplo: ativar cabeçalhos de segurança para uma página da Web

<script runat=server>
   Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
   Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
   Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
   Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
   Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
   Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>

Esse exemplo ajuda a evitar problemas comuns de formulários da Web, como scripts entre sites ou injeções de SQL.

Pronto para ir mais adiante? A próxima unidade aborda nossas principais recomendações e melhores práticas de segurança de dados.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback