クリックジャッキング攻撃の防止
防止 クリックジャッキング を含めることによる悪用 X-Frame-Options ストアフロントへのリクエストの HTTP リクエストヘッダー。
この X-Frame-Options
ヘッダーを使用すると、ブラウザーでページをレンダリングできるかどうかを指定できます <frame>
, <iframe>
、または <object>
次のように設定します。
DENY
:ページをフレーム内に表示することはできません。SAMEORIGIN
:(デフォルト)ページは、ページ自体と同じオリジン上のフレーム内にのみ表示できます。
WARNING
この
ALLOW-FROM <uri>
Commerceでサポートされているブラウザーがサポートしなくなったので、オプションは非推奨(廃止予定)になりました。 参照: ブラウザーの互換性.WARNING
セキュリティ上の理由から、AdobeではCommerce ストアフロントをフレーム内で実行しないことを強くお勧めします。
実装方法 X-Frame-Options
の値を設定 X-Frame-Options
。対象: <project-root>/app/etc/env.php
. デフォルト値は次のように設定されています。
'x-frame-options' => 'SAMEORIGIN',
に変更がある場合は再デプロイ env.php
ファイルが有効になります。
TIP
を編集する方がより安全です。
env.php
ファイルの方が、管理者で値を設定する必要があります。の設定を確認します X-Frame-Options
設定を検証するには、任意のストアフロントページで HTTP ヘッダーを表示します。 Web ブラウザーインスペクターの使用など、いくつかの方法があります。
次の例では、HTTP プロトコルを使用してCommerce サーバーに接続できる任意のマシンから実行できる curl を使用しています。
curl -I -v --location-trusted '<storefront-URL>'
を探します。 X-Frame-Options
ヘッダーの値。
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c