magento安全性概览

增强密码管理

magento 加强了密码管理中的哈希加密算法。

经过使用默认数据转义提升防止跨站点脚本攻击

magento 使用了规范代码输出专业的规范来规范输出。这些准则包括转义html （html,json,xml and javascript）页面和电子邮件的输出。在可能的状况下，转义的作法对用户是透明的。参照前端代码查看 (防xss 攻击的安全措施)Security measures against XSS attacks.

提升的防劫持攻击能力

magento 使用X-Frame-Options http 请求来防止攻击劫持。点X-Frame-Options header查看更多信息。

不使用默认的magento 管理路径

默认的magento后台管理路径(admin,backend)使根据路径自动猜想密码的目标攻击更容易成功。为了防止这类攻击，magento 在安装的时候会使用随机生成的管理路径。CLI能够用来在你忘记密码的时候查看密码。你也能够使用CLI来更改这一路径。尽管自动生成的管理路径不能安全防御你的网站，可是它能够大规模的自动攻击。参照配置导览里的change the Admin URI获取更多信息