[PaaS uniquement]{class="badge informative" title="S’applique uniquement aux projets Adobe Commerce on Cloud (infrastructure PaaS gérée par Adobe) et aux projets On-premise."}

Empêcher les exploits de détournement de clic

Empêchez les exploits détournement de clic en incluant l’en-tête de requête HTTP X-Frame-Options dans les requêtes envoyées à votre storefront.

L’en-tête X-Frame-Options vous permet de spécifier si un navigateur est autorisé à effectuer le rendu d’une page dans une <frame>, un <iframe> ou un <object> comme suit :

  • DENY : la page ne peut pas être affichée dans un cadre.
  • SAMEORIGIN : (par défaut) la page ne peut être affichée que dans un cadre, sur la même origine que la page elle-même.
WARNING
L’option ALLOW-FROM <uri> est obsolète, car les navigateurs pris en charge par Commerce ne la prennent plus en charge. Voir Compatibilité navigateur.
WARNING
Pour des raisons de sécurité, Adobe recommande vivement de ne pas exécuter le storefront Commerce dans un frame.

Implémentation de X-Frame-Options

Définissez une valeur pour X-Frame-Options dans <project-root>/app/etc/env.php. La valeur par défaut est définie comme suit :

'x-frame-options' => 'SAMEORIGIN',

Effectuez un redéploiement pour que les modifications apportées au fichier env.php soient prises en compte.

TIP
La modification du fichier env.php est plus sûre que la définition d’une valeur dans l’Administration.

Vérifier votre paramètre pour X-Frame-Options

Pour vérifier votre paramètre, affichez les en-têtes HTTP sur n’importe quelle page de storefront. Il existe plusieurs façons de le faire, notamment en utilisant un inspecteur de navigateur web.

L’exemple suivant utilise curl, que vous pouvez exécuter à partir de tout ordinateur pouvant se connecter à votre serveur Commerce via le protocole HTTP.

curl -I -v --location-trusted '<storefront-URL>'

Recherchez la valeur X-Frame-Options dans les en-têtes.

recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c