防止点击劫持攻击
通过在店面的请求中包含X-Frame-Options HTTP请求标头,防止点击劫持攻击。
X-Frame-Options标题允许您指定是否允许浏览器在<frame>、<iframe>或<object>中呈现页面,如下所示:
DENY:页面无法显示在框架中。SAMEORIGIN:(默认)页面只能在与页面本身同源的框架中显示。
WARNING
ALLOW-FROM <uri>选项已被弃用,因为Commerce支持的浏览器不再支持它。 查看浏览器兼容性。WARNING
出于安全原因,Adobe强烈建议不要在框架中运行Commerce店面。
实施X-Frame-Options
在<project-root>/app/etc/env.php中设置X-Frame-Options的值。 缺省值设置如下:
'x-frame-options' => 'SAMEORIGIN',
重新部署以使对env.php文件所做的任何更改生效。
TIP
编辑
env.php文件比在管理员中设置值更安全。验证X-Frame-Options的设置
要验证您的设置,请查看任何店面页面上的HTTP标头。 可通过多种方法做到这一点,包括使用Web浏览器检查器。
以下示例使用curl,您可以从任何可以通过HTTP协议连接到Commerce服务器的计算机运行它。
curl -I -v --location-trusted '<storefront-URL>'
在标头中查找X-Frame-Options值。
recommendation-more-help
commerce-operations-help-configuration