私は好奇心が強いので、これは知的目的だけのためです。
グーグルを検索すると、これに対する明確な答えが見つからないので、件名が言うように、なぜそれが推奨されないのですか?何がうまくいかないのですか?
私が得る唯一の参照は、ここに投稿されたセキュリティ警告に関するものです:http : //www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ これは非常に初期のバージョンのものですマゼントの。
非常に特殊な状況下で、Magento 1.0〜1.0.19870にセキュリティ上の問題があり、ブロックキャッシュに無効なリンクが入力される可能性があることが判明しました。
誰かが多分/これがどのように機能したかを明確にすることができますか、そしてそれはまだ問題ですか?
TIA
回答:
これは、ここで見られるのと同じキャッシュポイズニング攻撃だと思います。
http://seclists.org/fulldisclosure/2011/Feb/123
つまり、デフォルトの仮想ホストと{{base_url}}をサイトURLとして使用する場合、攻撃者はHostヘッダーをevilsite.comに設定してサイトにリクエストを送信できます。これを実行してキャッシュミスが発生した場合、生成されたキャッシュにはevilsite.comへのリンクが含まれ、それが他のクライアントに提供されます。
私は彼らに対してこの攻撃を受けた人と話をしたので、それは間違いなく野生の中にあります。
この種の攻撃の詳細については、
http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html
私は何の考えもないので、現時点では定義されていない基本URIに基づく攻撃や何かを想像することはできません。しかし、支払いプロバイダー、paypal IPN、およびその他の裏付けが私の頭に浮かびます。
たとえば、検索エンジンの重複コンテンツを回避するために、ベースURLを制御する必要があると述べました。現時点で問題が発生しているのはSEOに関するものだけです。