Evitar ataques de clickjacking

Evite las vulnerabilidades Clickjacking al incluir el encabezado de solicitud HTTP X-Frame-Options en las solicitudes a su tienda.

El encabezado X-Frame-Options le permite especificar si un explorador puede procesar una página en <frame>, <iframe> o <object> de la siguiente manera:

  • DENY: la página no se puede mostrar en un marco.
  • SAMEORIGIN: (predeterminado) la página solo se puede mostrar en un marco del mismo origen que la propia página.
WARNING
La opción ALLOW-FROM <uri> se ha desaprobado porque los exploradores compatibles con Commerce ya no la admiten. Consulte Compatibilidad de exploradores.
WARNING
Por motivos de seguridad, Adobe recomienda encarecidamente no ejecutar la tienda de Commerce en un marco.

Implementar X-Frame-Options

Establecer un valor para X-Frame-Options en <project-root>/app/etc/env.php. El valor predeterminado se establece de la siguiente manera:

'x-frame-options' => 'SAMEORIGIN',

Volver a implementar para que surtan efecto los cambios realizados en el archivo env.php.

TIP
Es más seguro editar el archivo env.php que establecer un valor en el administrador.

Compruebe la configuración de X-Frame-Options

Para comprobar la configuración, vea los encabezados HTTP en cualquier página de la tienda. Existen varias formas de hacerlo, incluido el uso de un inspector del explorador web.

El siguiente ejemplo utiliza curl, que puede ejecutar desde cualquier equipo que pueda conectarse al servidor de Commerce a través del protocolo HTTP.

curl -I -v --location-trusted '<storefront-URL>'

Busque el valor X-Frame-Options en los encabezados.

recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c