【magento2配置专题1】安全设置

一、cron（定时任务）概述

Magento 2 的定时任务（cron job）, 可以 reindexing（刷新索引）, 生成 e-mails, 生成 newsletters, 生成 sitemaps, 等等. cron 是magento 2 配置的一个重要组成部分。

你可以通过以下方式运行Magento 2 cron：

• 在命令行或者crontab上使用 magento cron:run命令。
• 在浏览器上运行 /pub/cron.php?[group=]

要注意pub/cron.php的安全性，防止它被恶意利用攻击网站 . 如果corn不安全，任何用户都可以运行cron来攻击你的Magento 2网站。

如果你使用magento cron:run 命令运行cron就不用担心安全问题。因为命令行执行corn是一个安全的进程.

二、X-Frame-Options 响应头

为了防止点击劫持(clickjacking )漏洞，在访问magento 2的时候增加了一个X-Frame-Options HTTP请求头

X-Frame-Options有一下三种：

• DENY: 页面不能显示在frame中.
• SAMEORIGIN: (magento 2 的默认设置)
• ALLOW-FROM : 页面只能在指定的origin上显示

出于安全原因，Magento 2的强烈建议不要在frame中运行magento 2 页面.

三、防止缓存投毒

本主题讨论如何防止缓存投毒如果你使用的是IIS服务器. Cache poisoning（缓存投毒） 是更改缓存内容以将同一站点包含不同页面的方法.例如，有可能注入一个HTTP 404（未找到）错误页面代替一些正常页面（例如，店面首页）等等