Verhindern von Clickjacking-Exploits
Verhindern Clickjacking Exploits durch Einbeziehung der X-Frame-Options HTTP-Anfrage-Header in -Anfragen an Ihre Storefront.
Die X-Frame-Options
-Kopfzeile ermöglicht Ihnen anzugeben, ob ein Browser eine Seite in einem <frame>
, <iframe>
oder <object>
wie folgt:
DENY
: Seite kann nicht in einem Frame angezeigt werden.SAMEORIGIN
: (Standard) Seite kann nur in einem Frame mit demselben Ursprung wie die Seite selbst angezeigt werden.
ALLOW-FROM <uri>
-Option ist veraltet, da sie von Commerce-unterstützten Browsern nicht mehr unterstützt wird. Siehe Browserkompatibilität.Implementierung X-Frame-Options
Legen Sie einen Wert für X-Frame-Options
in <project-root>/app/etc/env.php
. Der Standardwert wird wie folgt festgelegt:
'x-frame-options' => 'SAMEORIGIN',
Stellen Sie für alle Änderungen am env.php
-Datei zu aktivieren.
env.php
als einen Wert in Admin festzulegen.Überprüfen Sie die Einstellung für X-Frame-Options
Um Ihre Einstellung zu überprüfen, sehen Sie sich die HTTP-Header auf jeder Storefront-Seite an. Dazu gibt es mehrere Möglichkeiten, einschließlich der Verwendung eines Webbrowser-Inspektors.
Im folgenden Beispiel wird curl verwendet, das Sie von jedem Computer aus ausführen können, der über das HTTP-Protokoll eine Verbindung zu Ihrem Commerce-Server herstellen kann.
curl -I -v --location-trusted '<storefront-URL>'
Suchen Sie nach X-Frame-Options
-Wert in den Kopfzeilen.