Saya memiliki toko yang berjalan baik dengan versi terbaru Magento (saat ini 2.1.1) dan saya mencoba untuk meningkatkan keamanan melalui Kebijakan Keamanan Konten di Apache 2.4.7 (Ubuntu 14.04). Saya telah menghapus semua tag "skrip>" dari halaman konten dan membuat file.js yang terpisah.
Di keamanan Apache saya telah menetapkan:
Tajuk setel Konten-Keamanan-Kebijakan "default-src 'mandiri'"
Namun, itu tidak berfungsi. Tampaknya Magento sendiri menambahkan beberapa tag "<script>". Contoh dari baris sumber pertama:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ skrip>
Jadi menurut saya untuk mengkonfigurasikan CSP saya harus mengaktifkan "unsafe-inline" yang sebenarnya tidak aman.
Tajuk setel Konten-Keamanan-Kebijakan "skrip default-src 'diri' -src 'mandiri' 'tidak aman-sebaris' 'tidak aman-eval'".
Adakah yang tahu cara mengatur Magento dengan benar dengan CSP? Terima kasih!
sumber