Verhindern von Clickjacking-Angriffen
Verhindern Sie Clickjacking-Exploits, indem Sie die X-Frame-Options HTTP-Anfrage-Kopfzeile in Anfragen an Ihre Storefront einschließen.
Mit dem X-Frame-Options-Header können Sie wie folgt angeben, ob ein Browser berechtigt ist, eine Seite in einem <frame>, <iframe> oder <object> zu rendern:
DENY: Seite kann nicht in einem Frame angezeigt werden.SAMEORIGIN: (Standard) Die Seite kann nur in einem Frame angezeigt werden, der auf demselben Ursprung liegt wie die Seite selbst.
ALLOW-FROM <uri>-Option wird nicht mehr unterstützt, da sie von Commerce unterstützte Browser nicht mehr unterstützen. Siehe Browser-Kompatibilität.Implementieren von X-Frame-Options
Legen Sie einen Wert für X-Frame-Options in <project-root>/app/etc/env.php fest. Der Standardwert wird wie folgt festgelegt:
'x-frame-options' => 'SAMEORIGIN',
Stellen Sie erneut bereit, damit Änderungen an der env.php wirksam werden.
env.php-Datei zu bearbeiten, als einen Wert im Admin-Bereich festzulegen.Überprüfen der Einstellung für X-Frame-Options
Um Ihre Einstellung zu überprüfen, zeigen Sie die HTTP-Kopfzeilen auf einer beliebigen Storefront-Seite an. Dazu gibt es mehrere Möglichkeiten, einschließlich der Verwendung eines Webbrowser-Inspektors.
Im folgenden Beispiel wird curl verwendet, das Sie auf jedem Computer ausführen können, der über das HTTP-Protokoll eine Verbindung zu Ihrem Commerce-Server herstellen kann.
curl -I -v --location-trusted '<storefront-URL>'
Suchen Sie in den Kopfzeilen nach dem Wert X-Frame-Options .