一、cron(定时任务)概述
Magento 2 的定时任务(cron job), 可以 reindexing(刷新索引), 生成 e-mails, 生成 newsletters, 生成 sitemaps, 等等. cron 是magento 2 配置的一个重要组成部分。
你可以通过以下方式运行Magento 2 cron:
- 在命令行或者crontab上使用 magento cron:run命令。
- 在浏览器上运行
<magento 2 安装地址>/pub/cron.php?[group=<name>]
要注意pub/cron.php
的安全性,防止它被恶意利用攻击网站 . 如果corn不安全,任何用户都可以运行cron来攻击你的Magento 2网站。
如果你使用magento cron:run 命令运行cron就不用担心安全问题。因为命令行执行corn是一个安全的进程.
二、X-Frame-Options 响应头
为了防止点击劫持(clickjacking )漏洞,在访问magento 2的时候增加了一个X-Frame-Options HTTP请求头
X-Frame-Options有一下三种:
DENY
: 页面不能显示在frame中.SAMEORIGIN
: (magento 2 的默认设置)ALLOW-FROM <uri>
: 页面只能在指定的origin上显示
出于安全原因,Magento 2的强烈建议不要在frame中运行magento 2 页面.
三、防止缓存投毒
本主题讨论如何防止缓存投毒如果你使用的是IIS服务器. Cache poisoning(缓存投毒) 是更改缓存内容以将同一站点包含不同页面的方法.例如,有可能注入一个HTTP 404(未找到)错误页面代替一些正常页面(例如,店面首页)等等