Ich habe ein Geschäft, das mit der neuesten Version von Magento (derzeit 2.1.1) einwandfrei funktioniert, und ich versuche, die Sicherheit durch Inhaltssicherheitsrichtlinien unter Apache 2.4.7 (Ubuntu 14.04) zu verbessern. Ich hatte alle "<script>" - Tags von den Inhaltsseiten entfernt und separate files.js erstellt.
In Bezug auf die Sicherheit von Apache habe ich Folgendes festgelegt:
Header-Set Inhaltssicherheitsrichtlinie "default-src 'self'"
Es funktioniert jedoch nicht. Es scheint, dass Magento selbst einige "<script>" - Tags hinzugefügt hat. Beispiel aus den ersten Quellzeilen:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
Daher scheint es mir, dass ich für die Konfiguration von CSP "unsicheres Inline" aktivieren muss, was schließlich nicht wirklich sicher ist.
Header-Set Inhaltssicherheitsrichtlinie "default-src 'self' script-src 'self' 'unsicher-inline' 'unsicher-eval'".
Weiß jemand, wie man Magento richtig mit CSP einstellt? Vielen Dank!
quelle