Evitar explorações de clickjacking
Evite explorações de Clickjacking ao incluir o cabeçalho de solicitação HTTP X-Frame-Options em solicitações para sua vitrine.
O cabeçalho X-Frame-Options permite especificar se um navegador tem permissão para renderizar uma página em um <frame>, <iframe> ou <object> da seguinte maneira:
DENY: a página não pode ser exibida em um quadro.SAMEORIGIN: (padrão) a página pode ser exibida somente em um quadro na mesma origem da própria página.
ALLOW-FROM <uri> foi descontinuada porque os navegadores com suporte para Commerce não oferecem mais suporte a ela. Consulte Compatibilidade do navegador.Implementar o X-Frame-Options
Defina um valor para X-Frame-Options em <project-root>/app/etc/env.php. O valor padrão é definido da seguinte maneira:
'x-frame-options' => 'SAMEORIGIN',
Reimplante para que qualquer alteração no arquivo env.php entre em vigor.
env.php é mais seguro do que definir um valor no Administrador.Verifique sua configuração para X-Frame-Options
Para verificar sua configuração, visualize os cabeçalhos HTTP em qualquer página de vitrine. Há várias maneiras de fazer isso, incluindo o uso de um inspetor de navegador da Web.
O exemplo a seguir usa curl, que pode ser executado de qualquer máquina que possa se conectar ao servidor do Commerce pelo protocolo HTTP.
curl -I -v --location-trusted '<storefront-URL>'
Procure o valor X-Frame-Options nos cabeçalhos.