Evitar ataques de clickjacking
Evite las vulnerabilidades Clickjacking al incluir el encabezado de solicitud HTTP X-Frame-Options en las solicitudes a su tienda.
El encabezado X-Frame-Options
le permite especificar si un explorador puede procesar una página en <frame>
, <iframe>
o <object>
de la siguiente manera:
DENY
: la página no se puede mostrar en un marco.SAMEORIGIN
: (predeterminado) la página solo se puede mostrar en un marco del mismo origen que la propia página.
ALLOW-FROM <uri>
se ha desaprobado porque los exploradores compatibles con Commerce ya no la admiten. Consulte Compatibilidad de exploradores.Implementar X-Frame-Options
Establecer un valor para X-Frame-Options
en <project-root>/app/etc/env.php
. El valor predeterminado se establece de la siguiente manera:
'x-frame-options' => 'SAMEORIGIN',
Volver a implementar para que surtan efecto los cambios realizados en el archivo env.php
.
env.php
que establecer un valor en el administrador.Compruebe la configuración de X-Frame-Options
Para comprobar la configuración, vea los encabezados HTTP en cualquier página de la tienda. Existen varias formas de hacerlo, incluido el uso de un inspector del explorador web.
El siguiente ejemplo utiliza curl, que puede ejecutar desde cualquier equipo que pueda conectarse al servidor de Commerce a través del protocolo HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Busque el valor X-Frame-Options
en los encabezados.