Verhindern von Clickjacking-Exploits
Verhindern Clickjacking Exploits durch Einbeziehung der X-Frame-Options HTTP-Anfrage-Header in -Anfragen an Ihre Storefront.
Die X-Frame-Options -Kopfzeile ermöglicht Ihnen anzugeben, ob ein Browser eine Seite in einem <frame>, <iframe>oder <object> wie folgt:
DENY: Seite kann nicht in einem Frame angezeigt werden.SAMEORIGIN: (Standard) Seite kann nur in einem Frame mit demselben Ursprung wie die Seite selbst angezeigt werden.
ALLOW-FROM <uri> -Option ist veraltet, da sie von Commerce-unterstützten Browsern nicht mehr unterstützt wird. Siehe Browserkompatibilität.Implementierung X-Frame-Options
Legen Sie einen Wert für X-Frame-Options in <project-root>/app/etc/env.php. Der Standardwert wird wie folgt festgelegt:
'x-frame-options' => 'SAMEORIGIN',
Stellen Sie für alle Änderungen am env.php -Datei zu aktivieren.
env.php als einen Wert in Admin festzulegen.Überprüfen Sie die Einstellung für X-Frame-Options
Um Ihre Einstellung zu überprüfen, sehen Sie sich die HTTP-Header auf jeder Storefront-Seite an. Dazu gibt es mehrere Möglichkeiten, einschließlich der Verwendung eines Webbrowser-Inspektors.
Im folgenden Beispiel wird curl verwendet, das Sie von jedem Computer aus ausführen können, der über das HTTP-Protokoll eine Verbindung zu Ihrem Commerce-Server herstellen kann.
curl -I -v --location-trusted '<storefront-URL>'
Suchen Sie nach X-Frame-Options -Wert in den Kopfzeilen.