Evitar explorações de clickjacking
Impedir Clickjacking explorações, incluindo a X-Frame-Options Cabeçalho de solicitação HTTP em solicitações para a loja.
A variável X-Frame-Options
permite especificar se um navegador pode renderizar uma página em um <frame>
, <iframe>
ou <object>
do seguinte modo:
DENY
: a página não pode ser exibida em um quadro.SAMEORIGIN
: (padrão) a página pode ser exibida somente em um quadro na mesma origem da própria página.
ALLOW-FROM <uri>
A opção foi descontinuada porque os navegadores compatíveis com o Commerce não oferecem mais suporte para ela. Consulte Compatibilidade do navegador.Implementar X-Frame-Options
Definir um valor para X-Frame-Options
in <project-root>/app/etc/env.php
. O valor padrão é definido da seguinte maneira:
'x-frame-options' => 'SAMEORIGIN',
Reimplante para qualquer alteração no env.php
que entrará em vigor.
env.php
que é para definir um valor no Administrador.Verifique sua configuração para X-Frame-Options
Para verificar sua configuração, visualize os cabeçalhos HTTP em qualquer página de vitrine. Há várias maneiras de fazer isso, incluindo o uso de um inspetor de navegador da Web.
O exemplo a seguir usa curl, que pode ser executado em qualquer máquina que possa se conectar ao servidor do Commerce por meio do protocolo HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Procure o X-Frame-Options
nos cabeçalhos.