Bir üretim sunucusunda {{base_url}} kullanılması neden önerilmez?

Bu sadece entelektüel amaçlı, merak ettiğim gibi.

Google'da arama yaparken, buna kesin bir cevap bulamıyorum, bu yüzden konunun dediği gibi neden önerilmiyor? Ne yanlış gidebilir?

Ben sadece ref burada yayınlanan bir güvenlik uyarısı hakkında: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ çok erken bir sürümünden eflatun.

Çok özel koşullar altında Magento 1.0 ile 1.0.19870 arasında, engelleme önbelleğinize geçersiz bağlantıların girmesine neden olabilecek bir güvenlik sorunu olduğu dikkatimizi çekmiştir.

Birisi bunun nasıl / nasıl çalıştığını açıklığa kavuşturabilir mi ve hala bir sorun mu var?

TIA

Bunun burada görülen önbellek zehirlenmesi saldırısı olduğuna inanıyorum:

http://seclists.org/fulldisclosure/2011/Feb/123

Kısacası, site URL'niz olarak varsayılan sanal ana bilgisayarı ve {{base_url}} kullanırsanız, bir saldırgan, Host üstbilgisi evilsite.com olarak ayarlanmış olarak sitenize istek gönderebilir. Bunu yaparlarsa ve bir önbellek kaçarsa, oluşturulan önbellek evilsite.com'a bağlantılar içerecek ve daha sonra diğer istemcilere sunulacaktır.

Bu saldırıyı onlara karşı kullanan insanlarla konuştum, bu yüzden kesinlikle vahşi doğada.

Bu saldırı türü hakkında daha fazla bilgi için bkz.

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Hiçbir fikrim yok ve şu anda tanımlanmamış bir uri tabanlı herhangi bir saldırı veya bir şey hayal edemiyorum. Ancak ödeme sağlayıcıları, paypal IPN ve diğer yedeklemeler aklıma geliyor.

Arama motorları için yinelenen içeriklerden kaçınmak için temel URL'nizi kontrol etmek istediğinizi söyledikten sonra. Şu anda bir sorun gördüğüm tek şey SEO şeyler.