Shopify 應用列表提交問題

Question

我嘗試在 shopify 上提交應用程序以供批准。 但每次他們給我下面的信息

您的主要應用列表有 2 個問題需要解決，然后才能提交您的應用以供審核

應用程序必須設置安全標頭以防止點擊劫持。
應用程序必須驗證來自 Shopify 的請求的真實性。

這是我用於驗證 hmac 及其正常工作的代碼。

$calculated_hmac = hash_hmac('sha256', $data, Auth::$client_secret);
$result = hash_equals($hmac, $calculated_hmac);

這是 header 我掛上 wordpress

add_action('send_headers', [$this, 'send_headers']);

public function send_headers() {
    header("Content-Security-Policy: frame-ancestors 'none';");
    header('X-Frame-Options: SAMEORIGIN');
}

但是提交后我仍然收到相同的消息。

Answer 1

你做錯了 CSP。 如果您查看最新文檔，則表明 iframe 必須存在於 myshopify.com 商店域中。 此外，與 Wordpress 無關。但無論如何，請確保為框架祖先呈現的 CSP 標頭是：

  "https://someshop.myshopify.com https://admin.shopify.com"

這樣，您的點擊劫持問題就消失了。 對於 HMAC，您必須嘗試找出缺少驗證的地方。 我認為他們欺騙了您，而您未能發送 401，告訴他們您正在正確執行 HMAC。