CSRF-Protection & Security-Key
In xt:Commerce ist eine CSRF-Protection sowie ein Security-Key im Shop implementiert. Die Funktion zur CSRF-Protection hängt an alle vom Shop generierten (internen) URLs (überwiegend im Backend) eine zufälligen Schlüssel an um Manipulation zu verhindern. Der Security-Key ist in der Datenbank und muss bei Funktionen genutzt werden, die von externen Diensten gestartet werden sollen können (z.B. Im und Exporte).
Security-Key:
Den Security-Key finden Sie in der Datenbank in der Tabelle "xt_config" mit dem Key "_SYSTEM_SECURITY_KEY".
Der externe Aufruf des Imageprocessings und des Exportmanagers muss um den Parameter "seckey=4d6538e2092e5b9689fe6fab99bdacc9" erweitert werden. ("4d6538e2292e539686fe6fab99bdacc9" wäre bei unserer Testinstallation z.B. gerade der Key.)
CSRF-Protection:
Die CSRF-Protection-Funktion hat drei Modi:
- deaktiviert
- aktiviert
- debug
Anpassen können Sie diese Option in der Datei /conf/debug.php
Deaktiviert:
define ('CSRF_PROTECTION','false');
Aktiviert:
define ('CSRF_PROTECTION','true');
Der Shop blockiert alle nicht autorisierten Anfragen
Debugging:
define ('CSRF_PROTECTION','debug');
Der Shop Schreibt eine Fehlermeldung in den System-Log bei nicht autorisierten Anfragen.
Cronjobs & Imageprocessing:
Cronjobs und Image-Processing sind mit den entsprechenden Parametern derzeit auch für nicht eingeloggte Benutzer zu aktivieren. Daher muss hier zukünftig einer der Security-Keys angehängt werden.