我很好奇,这仅是出于智力目的。
通过谷歌搜索,我找不到确切的答案,所以正如主题所说,为什么不建议这样做?有什么问题吗?
我得到的唯一参考是关于此处发布的安全警告的信息:http : //www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ 来自早期版本magento。
我们注意到,在非常特定的条件下,Magento 1.0到1.0.19870中存在一个安全问题,该问题可能导致无效链接输入到块缓存中。
有人可以澄清这是什么/如何工作的,这仍然是一个问题。
TIA
Answers:
我相信这与这里看到的缓存中毒攻击相同:
http://seclists.org/fulldisclosure/2011/Feb/123
简而言之,如果您使用默认虚拟主机并将{{base_url}}用作站点URL,则攻击者可以将Host标头设置为evilsite.com来向您的站点发送请求。如果他们这样做并且发生缓存未命中,则生成的缓存将包含指向evilsite.com的链接,然后将其提供给其他客户端。
我已经和曾经对他们使用过这种攻击的人进行过交谈,所以肯定是在野外。
有关这种攻击的更多信息,请参见
http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html
我不知道,目前无法想像任何攻击或基于未定义基本uri的内容。但是我想到了支付提供商,贝宝IPN和其他支持。
话虽如此,您想控制您的基本URL,例如,为搜索引擎避免重复的内容。目前,我唯一遇到的问题是SEO内容。