Förhindra clickjacking-attacker

Förhindra clickjacking-attacker genom att ta med HTTP-begärandehuvudet X-Frame-Options i begäranden till butiken.

Med rubriken X-Frame-Options kan du ange om en webbläsare får återge en sida i en <frame>, <iframe> eller <object> enligt följande:

  • DENY: Det går inte att visa sidan i en ram.
  • SAMEORIGIN: (standard) Sidan kan bara visas i en ram med samma ursprung som själva sidan.
WARNING
Alternativet ALLOW-FROM <uri> har tagits bort eftersom webbläsare som stöds av Commerce inte längre stöder det. Se Webbläsarkompatibilitet.
WARNING
Av säkerhetsskäl rekommenderar Adobe starkt att du inte kör Commerce storefront i en bildruta.

Implementera X-Frame-Options

Ange ett värde för X-Frame-Options i <project-root>/app/etc/env.php. Standardvärdet är följande:

'x-frame-options' => 'SAMEORIGIN',

Distribuera om för ändringar av filen env.php så att den träder i kraft.

TIP
Det är säkrare att redigera filen env.php än att ange ett värde i administratören.

Verifiera din inställning för X-Frame-Options

Kontrollera inställningarna genom att visa HTTP-rubrikerna på alla butikssidor. Det finns flera sätt att göra detta, bland annat genom att använda en webbläsarkontroll.

I följande exempel används curl, som du kan köra från vilken dator som helst som kan ansluta till din Commerce-server via HTTP-protokollet.

curl -I -v --location-trusted '<storefront-URL>'

Leta efter värdet X-Frame-Options i rubrikerna.

recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c