クリックジャッキングの悪用を防ぐ
X-Frame-Options HTTP リクエストヘッダーをストアフロントへのリクエストに含めることで、 クリックジャッキング の不正利用を防止します。
X-Frame-Options ヘッダーを使用すると、ブラウザーが<frame>、<iframe>、または<object>でページをレンダリングできるかどうかを次のように指定できます。
DENY: ページをフレーム内に表示できません。SAMEORIGIN: (デフォルト) ページは、ページ自体と同じオリジンのフレーム内でのみ表示できます。
WARNING
Commerceでサポートされているブラウザーではサポートされなくなったため、
ALLOW-FROM <uri> オプションは廃止されました。 ブラウザーの互換性を参照してください。WARNING
セキュリティ上の理由から、Adobeでは、Commerce ストアフロントをフレーム内で実行しないことを強くお勧めします。
X-Frame-Optionsを実装
<project-root>/app/etc/env.phpにX-Frame-Optionsの値を設定します。 デフォルト値は次のように設定されます。
'x-frame-options' => 'SAMEORIGIN',
env.php ファイルの変更を有効にするには、再デプロイします。
TIP
env.php ファイルを編集する方が、管理者で値を設定するよりも安全です。X-Frame-Optionsの設定を確認してください
設定を確認するには、任意のストアフロントページでHTTP ヘッダーを表示します。 これには、web ブラウザーインスペクターの使用など、いくつかの方法があります。
次の例では、HTTP プロトコルを介してCommerce サーバーに接続できる任意のマシンから実行できるcurlを使用しています。
curl -I -v --location-trusted '<storefront-URL>'
ヘッダーでX-Frame-Options値を探します。
recommendation-more-help
commerce-operations-help-configuration