Dlaczego używanie {{base_url}} na serwerze produkcyjnym nie jest zalecane?

To jest wyłącznie w celach intelektualnych, jak jestem ciekawy.

Przeszukując google, nie mogę znaleźć jednoznacznej odpowiedzi na to pytanie, więc jak mówi podmiot, dlaczego nie jest to zalecane? Co może pójść źle?

Jedyne odniesienie, jakie dostaję, dotyczy ostrzeżenia dotyczącego bezpieczeństwa zamieszczonego tutaj: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, który pochodzi z bardzo wczesnej wersji magento.

Zauważyliśmy, że w bardzo szczególnych warunkach w Magento 1.0 do 1.0.19870 występuje problem bezpieczeństwa, który może powodować wprowadzanie nieprawidłowych linków do pamięci podręcznej bloków.

Czy ktoś może wyjaśnić, co / jak to działało, i czy nadal jest to problem.

TIA

Uważam, że był to taki sam atak zatrucia pamięci podręcznej, jak tutaj:

http://seclists.org/fulldisclosure/2011/Feb/123

Krótko mówiąc, jeśli użyjesz domyślnego wirtualnego hosta i {{base_url}} jako URL witryny, atakujący może wysyłać żądania do Twojej witryny z nagłówkiem Host ustawionym na evilsite.com. Jeśli to zrobią, a zdarzy się błąd pamięci podręcznej, wygenerowana pamięć podręczna będzie zawierać linki do evilsite.com, a następnie zostanie przekazana innym klientom.

Rozmawiałem z ludźmi, którzy zostali wykorzystani przeciwko temu atakowi, więc na pewno dzieje się to na wolności.

Aby uzyskać więcej informacji na temat tego rodzaju ataku, zobacz

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Nie mam pojęcia i w tej chwili nie wyobrażam sobie żadnego ataku lub czegoś opartego na nieokreślonym bazowym identyfikatorze. Ale przychodzą mi na myśl dostawcy płatności, paypal IPN i inne kopie zapasowe.

Powiedziawszy, że chcesz kontrolować swój podstawowy adres URL, na przykład, aby avoud duplikować treści dla wyszukiwarek. W tej chwili widzę problem tylko z SEO.