クリックジャッキング攻撃の防止
ストアフロントへのリクエストに X-Frame-Options HTTP リクエストヘッダーを含めることで、 クリックジャッキングによる悪用を防ぐことができます。
X-Frame-Options ヘッダーを使用すると、ブラウザーでページを <frame>、<iframe> または <object> でレンダリングできるかどうかを次のように指定できます。
DENY: ページをフレーム内に表示することはできません。SAMEORIGIN:(デフォルト)ページは、ページ自体と同じオリジン上のフレームにのみ表示できます。
WARNING
Commerceでサポートされているブラウザーがサポートしなくなったため、
ALLOW-FROM <uri> オプションは非推奨(廃止予定)になりました。 ブラウザー互換性を参照してください。WARNING
セキュリティ上の理由から、AdobeではCommerce ストアフロントをフレーム内で実行しないことを強くお勧めします。
X-Frame-Options の実装
<project-root>/app/etc/env.php で X-Frame-Options の値を設定します。 デフォルト値は次のように設定されています。
'x-frame-options' => 'SAMEORIGIN',
再デプロイして、env.php ファイルに対する変更を有効にします。
TIP
管理者で値を設定するよりも、
env.php ファイルを編集する方が安全です。X-Frame-Options の設定を確認してください
設定を検証するには、任意のストアフロントページで HTTP ヘッダーを表示します。 Web ブラウザーインスペクターの使用など、いくつかの方法があります。
次の例では、HTTP プロトコルを使用してCommerce サーバーに接続できる任意のマシンから実行できる curl を使用しています。
curl -I -v --location-trusted '<storefront-URL>'
ヘッダーで X-Frame-Options 値を探します。
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c