magento安全性概覽

增強密碼管理

magento 加強了密碼管理中的哈希加密算法。

經過使用默認數據轉義提升防止跨站點腳本攻擊

magento 使用了規範代碼輸出專業的規範來規範輸出。這些準則包括轉義html （html,json,xml and javascript）頁面和電子郵件的輸出。在可能的狀況下，轉義的作法對用戶是透明的。參照前端代碼查看 (防xss 攻擊的安全措施)Security measures against XSS attacks.

提升的防劫持攻擊能力

magento 使用X-Frame-Options http 請求來防止攻擊劫持。點X-Frame-Options header查看更多信息。

不使用默認的magento 管理路徑

默認的magento後臺管理路徑(admin,backend)使根據路徑自動猜想密碼的目標攻擊更容易成功。爲了防止這類攻擊，magento 在安裝的時候會使用隨機生成的管理路徑。CLI能夠用來在你忘記密碼的時候查看密碼。你也能夠使用CLI來更改這一路徑。儘管自動生成的管理路徑不能安全防禦你的網站，可是它能夠大規模的自動攻擊。參照配置導覽裏的change the Admin URI獲取更多信息