Почему не рекомендуется использовать {{базовый URL}} на рабочем сервере?
Это только для интеллектуальных целей, как мне любопытно.
Просматривая Google, я не могу найти определенного ответа на этот вопрос, поэтому, как говорится в теме, почему это не рекомендуется? Что может пойти не так?
Единственная ссылка, которую я получаю, касается предупреждения о безопасности, размещенного здесь: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ это из очень ранней версии magento.
Оно пришло обращаем наше внимание на то, что при очень специфических условиях в Magento 1.0 - 1.0.19870 существует проблема безопасности, которая может привести к вводу недопустимых ссылок в ваш кэш блоков.
Может ли кто-нибудь уточнить, что/как это сработало, и все еще ли это проблема.
ТИА
2 answers
Я полагаю, что это была та же атака с отравлением кэша, что и здесь:
Http://seclists.org/fulldisclosure/2011/Feb/123
Короче говоря, если вы используете виртуальный хост по умолчанию и {{base_url}} в качестве URL-адреса вашего сайта, злоумышленник может отправлять запросы на ваш сайт с заголовком хоста, установленным в evilsite.com . Если они сделают это и произойдет промах кэша, то сгенерированный кэш будет содержать ссылки на evilsite.com , а затем это будет передано другим клиентам.
У меня есть поговорил с людьми, против которых была использована эта атака, так что это определенно в дикой природе.
Для получения дополнительной информации об этом виде атаки см.
Http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html
Я понятия не имею и не могу представить в данный момент какую-либо атаку или что-то, основанное на не определенном базовом uri. Но поставщики платежных услуг, IPN PayPal и другие отступления приходят мне в голову.
Сказав, что вы хотите контролировать свой базовый URL-адрес, например, чтобы дублировать контент для поисковых систем. Единственное, в чем на данный момент я вижу проблему, - это SEO-материалы.