Verhindern von Clickjacking-Exploits
Verhindern Sie Clickjacking -Exploits, indem Sie den HTTP-Anforderungsheader X-Frame-Options in Anfragen an Ihre Storefront einbeziehen.
Mit der Kopfzeile X-Frame-Options können Sie angeben, ob ein Browser eine Seite in einem <frame>, <iframe> oder <object> wie folgt rendern darf:
DENY: Die Seite kann nicht in einem Frame angezeigt werden.SAMEORIGIN: (Standard) Die Seite kann nur in einem Frame mit derselben Herkunft wie die Seite selbst angezeigt werden.
ALLOW-FROM <uri> wird nicht mehr unterstützt, da sie von Commerce unterstützte Browser nicht mehr unterstützen. Siehe Browserkompatibilität.Implementieren von X-Frame-Options
Legen Sie einen Wert für X-Frame-Options in <project-root>/app/etc/env.php fest. Der Standardwert wird wie folgt festgelegt:
'x-frame-options' => 'SAMEORIGIN',
Stellen Sie sie erneut bereit, damit Änderungen an der env.php-Datei wirksam werden.
env.php zu bearbeiten, als einen Wert in Admin festzulegen.Überprüfen Sie Ihre Einstellung für X-Frame-Options
Um Ihre Einstellung zu überprüfen, sehen Sie sich die HTTP-Header auf jeder Storefront-Seite an. Dazu gibt es mehrere Möglichkeiten, einschließlich der Verwendung eines Webbrowser-Inspektors.
Im folgenden Beispiel wird "curl"verwendet, das Sie von jedem Computer aus ausführen können, der über das HTTP-Protokoll eine Verbindung zu Ihrem Commerce-Server herstellen kann.
curl -I -v --location-trusted '<storefront-URL>'
Suchen Sie in den Kopfzeilen nach dem Wert X-Frame-Options .