[PaaS のみ]{class="badge informative" title="Adobe Commerce on Cloud プロジェクト（Adobeが管理する PaaS インフラストラクチャ）およびオンプレミスプロジェクトにのみ適用されます。"}

クリックジャッキング攻撃の防止

ストアフロントへのリクエストに X-Frame-Options HTTP リクエストヘッダーを含めることで、​ クリックジャッキング ​ による悪用を防ぐことができます。

X-Frame-Options ヘッダーを使用すると、ブラウザーでページを <frame>、<iframe> または <object> でレンダリングできるかどうかを次のように指定できます。

X-Frame-Options の実装

X-Frame-Options で <project-root>/app/etc/env.php の値を設定します。 デフォルト値は次のように設定されています。

'x-frame-options' => 'SAMEORIGIN',

再デプロイして、env.php ファイルに対する変更を有効にします。

X-Frame-Options の設定を確認してください

設定を検証するには、任意のストアフロントページで HTTP ヘッダーを表示します。 Web ブラウザーインスペクターの使用など、いくつかの方法があります。

次の例では、HTTP プロトコルを使用してCommerce サーバーに接続できる任意のマシンから実行できる curl を使用しています。

curl -I -v --location-trusted '<storefront-URL>'

ヘッダーで X-Frame-Options 値を探します。