Magento 2.1.1 - Migliora la sicurezza con la politica di sicurezza dei contenuti

Ho un negozio che funziona perfettamente con l'ultima versione di Magento (attualmente 2.1.1) e sto cercando di migliorare la sicurezza attraverso la politica di sicurezza dei contenuti su Apache 2.4.7 (Ubuntu 14.04). Ho rimosso tutti i tag "<script>" dalle pagine di contenuto e creato file.js separati.

Sulla sicurezza di Apache ho impostato:

Header set Content-Security-Policy "default-src 'self'"

Tuttavia, non funziona. Sembra che Magento stesso abbia aggiunto alcuni tag "<script>". Esempio dalle primissime righe di origine:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

Quindi mi sembra che per configurare CSP dovrei abilitare "unsafe-inline" che non è affatto sicuro dopo tutto.

Header set Content-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'".

Qualcuno sa come impostare Magento correttamente con CSP? Grazie!

La semplice risposta è: scusate, non è semplice rendere questo "sicuro".

Il lato positivo è che quasi nessun utente ha contribuito al contenuto e quindi questo è un piccolo svantaggio. Almeno per il caso semplice e normale.

Vedo che questa è un'impostazione che dovrebbe assolutamente funzionare ed essere applicata per l'area di amministrazione, e anche in generale.

Per rispondere alla tua domanda, potrebbe essere il modo più semplice per eseguire una richiesta di funzionalità nel forum di Magento e eseguire il ping di alcune persone della comunità di Magento. Perché, ha anche bisogno di qualche consiglio nei devdocs per i creatori di moduli, altrimenti le persone avrebbero regolarmente problemi con moduli non compatibili con questo livello di sicurezza.

Scusa se questa non è la risposta che ti aspetteresti. Il problema principale è probabilmente il javascript e come è organizzato, alcune parti potrebbero aspettarsi che sia sempre e presto lì. Inoltre, non so cosa sia cambiato ancora in magento2, ma in magento 1 c'erano anche alcuni altri posti che sono stati trasmessi su JS in linea, potrebbero non essere ancora completamente rifattorizzati.