Verhindern von Clickjacking-Angriffen
Verhindern Sie Clickjacking-Exploits, indem Sie die X-Frame-Options HTTP-Anfrage-Kopfzeile in Anfragen an Ihre Storefront einschließen.
Mit dem X-Frame-Options
-Header können Sie wie folgt angeben, ob ein Browser berechtigt ist, eine Seite in einem <frame>
, <iframe>
oder <object>
zu rendern:
DENY
: Seite kann nicht in einem Frame angezeigt werden.SAMEORIGIN
: (Standard) Die Seite kann nur in einem Frame angezeigt werden, der auf demselben Ursprung liegt wie die Seite selbst.
ALLOW-FROM <uri>
-Option wird nicht mehr unterstützt, da sie von Commerce unterstützte Browser nicht mehr unterstützen. Siehe Browser-Kompatibilität.Implementieren von X-Frame-Options
Legen Sie einen Wert für X-Frame-Options
in <project-root>/app/etc/env.php
fest. Der Standardwert wird wie folgt festgelegt:
'x-frame-options' => 'SAMEORIGIN',
Stellen Sie erneut bereit, damit Änderungen an der env.php
wirksam werden.
env.php
-Datei zu bearbeiten, als einen Wert im Admin-Bereich festzulegen.Überprüfen der Einstellung für X-Frame-Options
Um Ihre Einstellung zu überprüfen, zeigen Sie die HTTP-Kopfzeilen auf einer beliebigen Storefront-Seite an. Dazu gibt es mehrere Möglichkeiten, einschließlich der Verwendung eines Webbrowser-Inspektors.
Im folgenden Beispiel wird curl verwendet, das Sie auf jedem Computer ausführen können, der über das HTTP-Protokoll eine Verbindung zu Ihrem Commerce-Server herstellen kann.
curl -I -v --location-trusted '<storefront-URL>'
Suchen Sie in den Kopfzeilen nach dem Wert X-Frame-Options
.