Magento 2.1.1 - İçerik Güvenliği Politikası ile güvenliği artırın

Magento'nun en son sürümüyle (şu anda 2.1.1) iyi çalışan bir mağazam var ve Apache 2.4.7'de (Ubuntu 14.04) İçerik Güvenliği Politikası ile güvenliği artırmaya çalışıyorum. Tüm "<script>" etiketini içerik sayfalarından kaldırdım ve ayrılmış files.js oluşturdum.

Apache'nin güvenliğinde şunları ayarladım:

Üstbilgi kümesi Content-Security-Policy "default-src 'self'"

Ancak, çalışmıyor. Görünüşe göre Magento bazı "<script>" etiketleri ekledi. İlk kaynak satırlarından örnek:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var gerektiren = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

Bana öyle geliyor ki, CSP'yi yapılandırmak için "güvensiz inline" ı etkinleştirmem gerekiyordu ki bu da gerçekte güvenli değil.

Üstbilgi, Content-Security-Policy'yi "default-src 'self' script-src 'self' 'güvensiz-satır içi' 'güvensiz-eval'" olarak ayarlar.

Magento'nun CSP ile düzgün bir şekilde ayarlanmasını bilen var mı? Teşekkür ederim!

Basit cevap: Üzgünüm, bu "güvenli" yapmak mümkün değil.

Olumlu tarafı, neredeyse hiç kullanıcı katkısı içeriğiniz yok ve bu nedenle bu oldukça küçük bir dezavantaj. En azından basit ve normal durum için.

Bu yönetim alanı ve genel olarak kesinlikle çalışması ve uygulanması gereken bir ortam olduğunu görüyorum.

Sorunuzu cevaplamak için, magento forumunda bir özellik isteği yapmanın ve magento topluluğunun bazı kişilerine ping atmanın en kolay yolu olabilir. Ayrıca, modül yaratıcıları için devdoc'larda bazı tavsiyelere ihtiyaç duyduğundan, diğer insanların düzenli olarak bu güvenlik seviyesine uygun olmayan modüllerle ilgili sorunları olacaktır.

Bu beklediğiniz cevap değilse özür dileriz. Asıl sorun muhtemelen javascript ve nasıl organize edildiği, bazı bölümler her zaman ve erken orada bekleyebilir. Ayrıca, henüz magento2'de neyin değiştiğini bilmiyorum, ancak magento 1'de inline JS'ye geçiş yapan başka yerler de vardı, henüz tamamen yeniden düzenlenmemiş olabilirler.