Magento 2.1.1 - Cải thiện bảo mật với Chính sách bảo mật nội dung

10

Tôi có một cửa hàng chạy tốt với phiên bản Magento mới nhất (hiện là 2.1.1) và tôi đang cố gắng cải thiện bảo mật thông qua Chính sách bảo mật nội dung trên Apache 2.4.7 (Ubuntu 14.04). Tôi đã xóa tất cả thẻ "<script>" khỏi các trang nội dung và tạo các tệp.js riêng biệt.

Về bảo mật của Apache, tôi đã thiết lập:

Tiêu đề đặt Chính sách bảo mật nội dung "default-src 'self'"

Tuy nhiên, nó không hoạt động. Có vẻ như chính Magento đã thêm một số thẻ "<script>". Ví dụ từ các dòng nguồn đầu tiên:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var Yêu cầu = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

Vì vậy, đối với tôi, để cấu hình CSP, tôi phải kích hoạt "không an toàn nội tuyến", điều này thực sự không an toàn.

Tiêu đề đặt Chính sách bảo mật nội dung "default-src 'self' script-src 'self' 'không an toàn nội tuyến' 'không an toàn-eval'".

Có ai biết làm thế nào để Magento được thiết lập đúng với CSP không? Cảm ơn bạn!

magento-2.1  security  apache2 
Luiz Junior
nguồn

Câu trả lời:

0

Câu trả lời đơn giản là: xin lỗi, không đơn giản để thực hiện điều này "an toàn".

Mặt tích cực là, bạn gần như không có nội dung đóng góp của người dùng và do đó đây là một nhược điểm khá nhỏ. Ít nhất là cho trường hợp đơn giản và bình thường.

Tôi thấy đây là một cài đặt hoàn toàn hoạt động và được thi hành cho khu vực quản trị, và nói chung.

Để trả lời câu hỏi của bạn, đây có thể là cách dễ nhất để thực hiện một yêu cầu tính năng trong diễn đàn magento và ping một số người trong cộng đồng magento đến đó. Bởi vì, nó cũng cần một số lời khuyên trong devdocs cho người tạo mô-đun, những người khác thường gặp vấn đề với các mô-đun không tương thích với mức bảo mật này.

Xin lỗi nếu đây không phải là câu trả lời bạn mong đợi. Vấn đề chính có lẽ là javascript và cách thức tổ chức, một số phần có thể mong đợi nó luôn luôn và sớm ở đó. Ngoài ra, tôi không biết điều gì đã thay đổi trong magento2, nhưng trong magento 1 cũng có một số nơi khác được chuyển tiếp trên JS nội tuyến, chúng có thể chưa được tái cấu trúc hoàn toàn.

Flyingmana
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.