Evitar ataques de clickjacking

Impedir Clickjacking exploits al incluir el X-Frame-Options Encabezado de solicitud HTTP en solicitudes a su tienda.

El X-Frame-Options permite especificar si un explorador puede procesar una página en un <frame>, <iframe>, o <object> como sigue:

  • DENY: la página no se puede mostrar en un marco.
  • SAMEORIGIN: (predeterminado) La página solo se puede mostrar en un marco del mismo origen que la propia página.
WARNING
El ALLOW-FROM <uri> Esta opción ha quedado obsoleta porque los exploradores compatibles con Commerce ya no la admiten. Consulte Compatibilidad del explorador.
WARNING
Por motivos de seguridad, Adobe recomienda encarecidamente no ejecutar la tienda de Commerce en un marco.

Implementación X-Frame-Options

Establecer un valor para X-Frame-Options in <project-root>/app/etc/env.php. El valor predeterminado se establece de la siguiente manera:

'x-frame-options' => 'SAMEORIGIN',

Volver a implementar para cualquier cambio en env.php para que surta efecto.

TIP
Es más seguro editar el env.php de lo que es para establecer un valor en Admin.

Compruebe la configuración de X-Frame-Options

Para comprobar la configuración, vea los encabezados HTTP en cualquier página de la tienda. Existen varias formas de hacerlo, incluido el uso de un inspector del explorador web.

El siguiente ejemplo utiliza curl, que puede ejecutar desde cualquier equipo que pueda conectarse al servidor de Commerce a través del protocolo HTTP.

curl -I -v --location-trusted '<storefront-URL>'

Busque la variable X-Frame-Options en los encabezados.

recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c