Почему не рекомендуется использовать {{base_url}} на рабочем сервере?

Это только для интеллектуальных целей, как мне любопытно.

Ища в гугле, я не могу найти однозначного ответа на этот вопрос, поэтому, как говорит субъект, почему это не рекомендуется? Что может пойти не так?

Единственная ссылка, которую я получаю, касается предупреждения о безопасности, размещенного здесь: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/, которое относится к очень ранней версии. мадженто.

Мы обратили наше внимание на то, что в очень специфических условиях в Magento 1.0 до 1.0.19870 существует проблема безопасности, которая может привести к тому, что недействительные ссылки будут введены в ваш блочный кеш.

Может кто-то может уточнить, что / как это работает, и это все еще проблема.

ТИА

Я полагаю, что это была та же атака с отравлением кэша, что и здесь:

http://seclists.org/fulldisclosure/2011/Feb/123

Короче говоря, если вы используете виртуальный хост по умолчанию и {{base_url}} в качестве URL-адреса своего сайта, злоумышленник может отправлять запросы на ваш сайт с заголовком Host, установленным в evilsite.com. Если они это сделают и произойдет промах кеша, то сгенерированный кеш будет содержать ссылки на evilsite.com, а затем он будет разослан другим клиентам.

Я говорил с людьми, которые использовали эту атаку против них, так что это определенно в дикой природе.

Для получения дополнительной информации об этом виде атаки см.

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html

Я понятия не имею и не могу представить на данный момент какую-либо атаку или что-то, основанное на неопределенной базовой базе. Но провайдеры платежей, PayPal IPN и другие бэкпинги приходят мне на ум.

Сказав, что вы хотите контролировать свой базовый URL, например, для дублирования контента для поисковых систем. Единственная вещь, в которой я вижу проблему - это SEO.