【magento2配置专题1】安全设置

一、cron(定时任务)概述

Magento 2 的定时任务(cron job), 可以 reindexing(刷新索引), 生成 e-mails, 生成 newsletters, 生成 sitemaps, 等等. cron 是magento 2 配置的一个重要组成部分。

你可以通过以下方式运行Magento 2 cron:

  • 在命令行或者crontab上使用 magento cron:run命令。
  • 在浏览器上运行 /pub/cron.php?[group=]

要注意pub/cron.php的安全性,防止它被恶意利用攻击网站 . 如果corn不安全,任何用户都可以运行cron来攻击你的Magento 2网站。

如果你使用magento cron:run 命令运行cron就不用担心安全问题。因为命令行执行corn是一个安全的进程.

二、X-Frame-Options 响应头

为了防止点击劫持(clickjacking )漏洞,在访问magento 2的时候增加了一个X-Frame-Options HTTP请求头

X-Frame-Options有一下三种:

  • DENY: 页面不能显示在frame中.
  • SAMEORIGIN: (magento 2 的默认设置)
  • ALLOW-FROM : 页面只能在指定的origin上显示

出于安全原因,Magento 2的强烈建议不要在frame中运行magento 2 页面.

三、防止缓存投毒

本主题讨论如何防止缓存投毒如果你使用的是IIS服务器. Cache poisoning(缓存投毒) 是更改缓存内容以将同一站点包含不同页面的方法.例如,有可能注入一个HTTP 404(未找到)错误页面代替一些正常页面(例如,店面首页)等等

你可能感兴趣的:(magento2)