Impedisci sfruttare il clickjacking
Impedisci le attività di Clickjacking includendo l'intestazione di richiesta HTTP X-Frame-Options nelle richieste alla vetrina.
L'intestazione X-Frame-Options consente di specificare se un browser può eseguire il rendering di una pagina in <frame>, <iframe> o <object> come segue:
DENY: impossibile visualizzare la pagina in un frame.SAMEORIGIN: (predefinita) la pagina può essere visualizzata solo in un frame nella stessa origine della pagina stessa.
ALLOW-FROM <uri> è stata rimossa perché i browser supportati da Commerce non la supportano più. Vedi Compatibilità browser.Implementa X-Frame-Options
Imposta un valore per X-Frame-Options in <project-root>/app/etc/env.php. Il valore predefinito è impostato come segue:
'x-frame-options' => 'SAMEORIGIN',
Ridistribuisci per rendere effettive le modifiche al file env.php.
env.php che impostare un valore in Admin.Verifica l'impostazione per X-Frame-Options
Per verificare l’impostazione, visualizza le intestazioni HTTP su qualsiasi pagina storefront. Sono disponibili diversi modi per eseguire questa operazione, incluso l’utilizzo di un controllo browser Web.
Nell'esempio seguente viene utilizzato curl, che può essere eseguito da qualsiasi computer in grado di connettersi al server Commerce tramite il protocollo HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Cerca il valore X-Frame-Options nelle intestazioni.