Empêcher les exploits de détournement de clic
Empêchez les exploits détournement de clic en incluant l’en-tête de requête HTTP X-Frame-Options dans les requêtes envoyées à votre storefront.
L’en-tête X-Frame-Options
vous permet de spécifier si un navigateur est autorisé à effectuer le rendu d’une page dans une <frame>
, un <iframe>
ou un <object>
comme suit :
DENY
: la page ne peut pas être affichée dans un cadre.SAMEORIGIN
: (par défaut) la page ne peut être affichée que dans un cadre, sur la même origine que la page elle-même.
ALLOW-FROM <uri>
est obsolète, car les navigateurs pris en charge par Commerce ne la prennent plus en charge. Voir Compatibilité navigateur.Implémentation de X-Frame-Options
Définissez une valeur pour X-Frame-Options
dans <project-root>/app/etc/env.php
. La valeur par défaut est définie comme suit :
'x-frame-options' => 'SAMEORIGIN',
Effectuez un redéploiement pour que les modifications apportées au fichier env.php
soient prises en compte.
env.php
est plus sûre que la définition d’une valeur dans l’Administration.Vérifier votre paramètre pour X-Frame-Options
Pour vérifier votre paramètre, affichez les en-têtes HTTP sur n’importe quelle page de storefront. Il existe plusieurs façons de le faire, notamment en utilisant un inspecteur de navigateur web.
L’exemple suivant utilise curl, que vous pouvez exécuter à partir de tout ordinateur pouvant se connecter à votre serveur Commerce via le protocole HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Recherchez la valeur X-Frame-Options
dans les en-têtes.