Klickjackingexplosies voorkomen
Verhinder Klikjackingdoor x-kader-OptiesHTTP- verzoekkopbal in verzoeken aan uw storefront te omvatten.
Met de header X-Frame-Options kunt u als volgt opgeven of een browser een pagina mag weergeven in een <frame> , <iframe> of <object> :
DENY: de pagina kan niet in een kader worden weergegeven.SAMEORIGIN: (standaard) Pagina kan alleen worden weergegeven in een frame dat zich op dezelfde oorsprong bevindt als de pagina zelf.
ALLOW-FROM <uri> is vervangen omdat deze niet meer wordt ondersteund door browsers die door Commerce worden ondersteund. Zie Browser verenigbaarheid.Implementeren X-Frame-Options
Stel een waarde in voor X-Frame-Options in <project-root>/app/etc/env.php . De standaardwaarde wordt als volgt ingesteld:
'x-frame-options' => 'SAMEORIGIN',
Herdistribueren als wijzigingen in het env.php -bestand van kracht worden.
env.php -bestand is veiliger dan het instellen van een waarde in de beheerfunctie.Uw instelling voor X-Frame-Options controleren
Als u de instelling wilt controleren, geeft u de HTTP-headers op een willekeurige winkelpagina weer. U kunt dit op verschillende manieren doen, bijvoorbeeld met een webbrowsercontrole.
In het volgende voorbeeld wordt curl gebruikt, die u kunt uitvoeren vanaf elke computer die via het HTTP-protocol verbinding kan maken met uw Commerce-server.
curl -I -v --location-trusted '<storefront-URL>'
Zoek de X-Frame-Options -waarde in de kopteksten.