Impedisci sfruttare il clickjacking
Previeni Clickjacking sfruttare includendo X-Frame-Options Intestazione della richiesta HTTP nelle richieste alla vetrina.
Il X-Frame-Options
intestazione consente di specificare se un browser può eseguire il rendering di una pagina in un <frame>
, <iframe>
, o <object>
come segue:
DENY
: la pagina non può essere visualizzata in un frame.SAMEORIGIN
: (impostazione predefinita) la pagina può essere visualizzata solo in un frame sulla stessa origine della pagina stessa.
ALLOW-FROM <uri>
L’opzione è stata rimossa perché non è più supportata dai browser supportati da Commerce. Consulta Compatibilità browser.Implementare X-Frame-Options
Imposta un valore per X-Frame-Options
in <project-root>/app/etc/env.php
. Il valore predefinito è impostato come segue:
'x-frame-options' => 'SAMEORIGIN',
Ridistribuisci per qualsiasi modifica apportata a env.php
per rendere effettivo il file.
env.php
di un file per impostare un valore in Admin.Verifica l’impostazione per X-Frame-Options
Per verificare l’impostazione, visualizza le intestazioni HTTP su qualsiasi pagina storefront. Sono disponibili diversi modi per eseguire questa operazione, incluso l’utilizzo di un controllo browser Web.
L’esempio seguente utilizza curl, che può essere eseguito da qualsiasi computer in grado di connettersi al server Commerce tramite il protocollo HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Cerca X-Frame-Options
nelle intestazioni.