Ab der Version 4.1.10 In xt:Commerce ist eine CSRF-Protection sowie ein Security-Key im Shop implementiert. Die Funktion zur CSRF-Protection hängt an alle vom Shop generierten (internen) URLs (überwiegend im Backend) eine zufälligen Schlüssel an um Manipulation zu verhindern. Der Security-Key ist in der Datenbank und muss bei Funktionen genutzt werden, die von externen Diensten gestartet werden sollen können (z.B. Im und Exporte).
...
Der externe Aufruf des Imageprocessings und des Exportmanagers muss um den Parameter "seckey=4d6538e2092e5b9689fe6fab99bdacc9" erweitert werden. ("4d6538e2292e539686fe6fab99bdacc9" wäre bei unserer Testinstallation z.B. gerade der Key.)
CSRF-Protection:
...
Um dieses den Resellern und Plugin-Entwicklern bereits jetzt zu ermöglichen kann man diese Funktion jedoch bereits jetzt zu Entwicklungszwecken aktivieren.
Die CSRF-Protection-Funktion hat drei Modi:
...
Anpassen können Sie diese Option in der Datei /conf/debug.php (ca. Zeile 21 )
Deaktiviert:
| Code Block | ||
|---|---|---|
| ||
define ('CSRF_PROTECTION','false'); |
...
Der Shop Schreibt eine Fehlermeldung in den System-Log bei nicht autorisierten Anfragen.
Mit der kommenden Version werden wir die Möglichkeit zur Veränderung dieser Option entfernen und den Shop generell mit aktivierter CSRF-Protection arbeiten lassen.
Cronjobs & Imageprocessing:
Cronjobs und Image-Processing sind mit den entsprechenden Parametern derzeit auch für nicht eingeloggte Benutzer zu aktivieren. Daher muss hier zukünftig einer der Security-Keys angehängt werden.