Mam sklep działający poprawnie z najnowszą wersją Magento (obecnie 2.1.1) i staram się poprawić bezpieczeństwo poprzez Politykę bezpieczeństwa treści w Apache 2.4.7 (Ubuntu 14.04). Usunąłem wszystkie tagi „<script>” ze stron treści i utworzyłem oddzielne pliki.js.
Dla bezpieczeństwa Apache'a ustawiłem:
Nagłówek ustawia zasady bezpieczeństwa treści „default-src 'self”
Jednak to nie działa. Wygląda na to, że Magento sam dodał kilka tagów „<script>”. Przykład z pierwszych linii źródłowych:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var wymagają = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
Wydaje mi się więc, że aby skonfigurować CSP musiałbym włączyć „niebezpieczne inline”, co wcale nie jest naprawdę bezpieczne.
Nagłówek ustaw Content-Security-Policy „default-src„ self ”script-src„ self ”„afe-inline” „afe-eval ”.
Czy ktoś wie, jak prawidłowo ustawić Magento za pomocą CSP? Dziękuję Ci!
źródło