Для борьбы с CSRF (Cross-Site Request Forgery – межсайтовая подделка запроса) X-Cart использует в общем-то стандартный прием – идентификатор формы, позволяющий определить, кем была сформирована принимаемая форма.
В config.php есть константа, позволяющая изменять длину списка хранимых уникальных идентификаторов формы (FORM_ID_ORDER_LENGTH). Чем больше эта константа, тем больше форм может открыть пользователь за одну сессию.
Кроме того X-Cart поддерживает запрет на подгрузку магазина во фрейме на стороннем сайте, хотя по умолчанию это возможность отключена. Рекомендую ее включить, изменив значение константы FRAME_NOT_ALLOWED на true.
Qetzal
09.04.2010 в 12:59 ппРекомендуется обратить внимание вот на эту статью: http://help.qtmsoft.com/index.php?title=X-Cart:5_security_features_that_you_might_not_know_yet