Habilitar la cabecera X-Frame-Options
Puede configurar los valores de la cabecera X-Frame-Options para ayudarle a proteger el sitio contra Clickjacking. Clickjacking es una técnica que engaña a un usuario web para que Pulse un sitio malintencionado pensando que es su sitio. Este sitio malintencionado puede revelar información confidencial o tomar el control del sistema del usuario.
Por qué y cuándo se efectúa esta tarea
Puede ayudar a proteger el sitio de este forma de ataque mejorando la cabecera X-Frame-Options.
Para ver más formas de proteger el sitio contra Clickjacking, consulte Hoja de referencia de la defensa de clickjacking.
- DENY
- Esta configuración es la más restrictiva e impide que la página del sitio se incluya en un iFrame. Esta opción es óptima si no tiene usuarios válidos para un iFrame.
- SAMEORIGIN
- Si una página padre es para el mismo dominio que la página del sitio, la página del sitio puede incluirse en el iFrame.
- ALLOW-FROM uri
- Puede especificar un URI único permitido para enmarcar la página del sitio. Nota: Esta opción no está soportada por todos los navegadores. Para obtener más información sobre qué navegadores están soportados, consulte Defensa con los encabezados de respuesta de X-Frame-Options.
Procedimiento
La tienda Aurora tiene la cabecera X-Frame-Options habilitada y utiliza HttpSecurityFilter
. Puede incluir esta cabecera X-Frame-Options utilizando una de las siguientes opciones:
- Utilice IBM HTTP Server (IHS) Habilitar la cabecera con IHS es la técnica más popular y esta técnica garantiza de que la cabecera se incluye con todas las respuestas. Para incluir la cabecera X-Frame-Options, utilice un mandato parecido al siguiente, que añade la cabecera X-Frame-Options SAMEORIGIN a las respuestas:
Para obtener más información sobre cómo controlar y modificar la solicitud HTTP y las cabeceras de respuesta, consulte Apache Module mod_headers.Header always append X-Frame-Options SAMEORIGIN
- Utilice la aplicación de HCL Commerce.
- Vaya al directorio siguiente:
Store_archivedir/Aurora/common
Store_archivedir\Aurora\common
- Abra el archivo EnvironmentSetup.jspf para editarlo y añada la siguiente línea de código:
response.setHeader("X-Frame-Options","SAMEORIGIN");
- Guarde y cierre el archivo.
- Vaya al directorio siguiente:
- Si utiliza Microsoft Internet Information Services (IIS), utilice IIS Manager para incluir X-Frames-Options. Para más información, consulte Mitigar el espionaje de marcos con el encabezado de X-Frame-Options .
-
Para habilitar la cabecera X-Frame Options con
HttpSecurityFilter
, añada la propiedad correspondiente al archivo wc-component.xml de fundación ampliada. Para obtener más información sobre cómo crear un archivo de configuración personalizado, consulte Cambio de propiedades en el archivo de configuración de componente. Las propiedades X-Frame-Options aceptan un valor true o false explícito. Un valor de true añade X-Frame-Options con un valor de DENY or SAMEORIGIN, según la propiedad. Son posibles los nombres de propiedad siguientes:- EnableXFrameOptionsDeny
- Establece el valor de DENY en la cabecera X-Frame-Options.
- EnableXFrameOptionsSameOrigin
- Establece el valor de SAMEORIGIN en la cabecera X-Frame-Options.
Por ejemplo, para configurar la cabecera de respuesta X-Frame-Options para el servlet REST donde el valor está establecido en SAMEORIGIN, añada el fragmento de código siguiente al archivo:
<_config:configgrouping name="HttpSecuritySettings_Rest"> <_config:property name="EnableXFrameOptionsSameOrigin" value="true"/> </_config:configgrouping>"