Habilitar la cabecera X-Frame-Options

Puede configurar los valores de la cabecera X-Frame-Options para ayudarle a proteger el sitio contra Clickjacking. Clickjacking es una técnica que engaña a un usuario web para que Pulse un sitio malintencionado pensando que es su sitio. Este sitio malintencionado puede revelar información confidencial o tomar el control del sistema del usuario.

Por qué y cuándo se efectúa esta tarea

Puede ayudar a proteger el sitio de este forma de ataque mejorando la cabecera X-Frame-Options.

Para ver más formas de proteger el sitio contra Clickjacking, consulte Hoja de referencia de la defensa de clickjacking.

A continuación se muestran los posibles valores para la cabecera X-Frame-Options:
DENY
Esta configuración es la más restrictiva e impide que la página del sitio se incluya en un iFrame. Esta opción es óptima si no tiene usuarios válidos para un iFrame.
SAMEORIGIN
Si una página padre es para el mismo dominio que la página del sitio, la página del sitio puede incluirse en el iFrame.
ALLOW-FROM uri
Puede especificar un URI único permitido para enmarcar la página del sitio.
Nota: Esta opción no está soportada por todos los navegadores. Para obtener más información sobre qué navegadores están soportados, consulte Defensa con los encabezados de respuesta de X-Frame-Options.

Procedimiento

Incluya la cabecera X-Frame-Options con una respuesta.

La tienda Aurora tiene la cabecera X-Frame-Options habilitada y utiliza HttpSecurityFilter. Puede incluir esta cabecera X-Frame-Options utilizando una de las siguientes opciones:

  • Utilice IBM HTTP Server (IHS)
    Habilitar la cabecera con IHS es la técnica más popular y esta técnica garantiza de que la cabecera se incluye con todas las respuestas. Para incluir la cabecera X-Frame-Options, utilice un mandato parecido al siguiente, que añade la cabecera X-Frame-Options SAMEORIGIN a las respuestas:
    Header always append X-Frame-Options SAMEORIGIN
    Para obtener más información sobre cómo controlar y modificar la solicitud HTTP y las cabeceras de respuesta, consulte Apache Module mod_headers.
  • Utilice la aplicación de HCL Commerce.
    1. Vaya al directorio siguiente:
      • LinuxAIX Store_archivedir/Aurora/common
      • Windows Store_archivedir\Aurora\common
    2. Abra el archivo EnvironmentSetup.jspf para editarlo y añada la siguiente línea de código:
      response.setHeader("X-Frame-Options","SAMEORIGIN");
    3. Guarde y cierre el archivo.
  • Si utiliza Microsoft Internet Information Services (IIS), utilice IIS Manager para incluir X-Frames-Options. Para más información, consulte Mitigar el espionaje de marcos con el encabezado de X-Frame-Options .
  • Para habilitar la cabecera X-Frame Options con HttpSecurityFilter, añada la propiedad correspondiente al archivo wc-component.xml de fundación ampliada. Para obtener más información sobre cómo crear un archivo de configuración personalizado, consulte Cambio de propiedades en el archivo de configuración de componente. Las propiedades X-Frame-Options aceptan un valor true o false explícito. Un valor de true añade X-Frame-Options con un valor de DENY or SAMEORIGIN, según la propiedad. Son posibles los nombres de propiedad siguientes:
    EnableXFrameOptionsDeny
    Establece el valor de DENY en la cabecera X-Frame-Options.
    EnableXFrameOptionsSameOrigin
    Establece el valor de SAMEORIGIN en la cabecera X-Frame-Options.

    Por ejemplo, para configurar la cabecera de respuesta X-Frame-Options para el servlet REST donde el valor está establecido en SAMEORIGIN, añada el fragmento de código siguiente al archivo:

    <_config:configgrouping name="HttpSecuritySettings_Rest">
<_config:property name="EnableXFrameOptionsSameOrigin" value="true"/>
</_config:configgrouping>"