Magento 2.1.1 - ปรับปรุงความปลอดภัยด้วยนโยบายความปลอดภัยของเนื้อหา

ฉันมีร้านค้าที่ใช้งานได้ดีกับ Magento รุ่นล่าสุด (ปัจจุบัน 2.1.1) และฉันพยายามปรับปรุงความปลอดภัยผ่านนโยบายความปลอดภัยเนื้อหาใน Apache 2.4.7 (Ubuntu 14.04) ฉันลบแท็ก "<script>" ทั้งหมดออกจากหน้าเนื้อหาและสร้าง files.js ที่แยกจากกัน

ในเรื่องความปลอดภัยของ Apache ฉันได้ตั้งค่าไว้:

ส่วนหัวตั้งนโยบายความปลอดภัยเนื้อหา "default-src 'self'"

อย่างไรก็ตามมันไม่ทำงาน ดูเหมือนว่าวีโอไอพีเองจะเพิ่มแท็ก "<script>" บางส่วน ตัวอย่างจากบรรทัดซอร์สแรกสุด:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var ต้องการ = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

ดังนั้นฉันจึงดูเหมือนว่าเพื่อให้มีการกำหนดค่า CSP ฉันต้องเปิดใช้งาน "ไม่ปลอดภัยแบบอินไลน์" ซึ่งไม่ปลอดภัยจริง ๆ หลังจากทั้งหมด

ส่วนหัวตั้งนโยบายความปลอดภัยของเนื้อหา "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'"

ไม่มีใครรู้วิธีการตั้งค่าวีโอไอพีอย่างถูกต้องกับ CSP? ขอบคุณ!

คำตอบง่ายๆคือ: ขออภัยมันไม่ง่ายที่จะทำให้ "ปลอดภัย"

ด้านบวกคือคุณไม่มีผู้ใช้ที่มีส่วนร่วมในเนื้อหาและดังนั้นจึงเป็นข้อเสียเล็ก ๆ น้อย ๆ อย่างน้อยสำหรับกรณีธรรมดาและเรียบง่าย

ฉันเห็นว่านี่เป็นการตั้งค่าที่ควรใช้งานได้จริงและบังคับใช้กับพื้นที่การดูแลระบบและโดยทั่วไป

ในการตอบคำถามของคุณอาจเป็นวิธีที่ง่ายที่สุดในการทำคำขอคุณสมบัติในฟอรัมคุณภาพเยี่ยมและส่ง Ping ไปยังชุมชนวีโอไอพีบางคน เนื่องจากมันยังต้องการคำแนะนำบางอย่างใน devdocs สำหรับผู้สร้างโมดูลมิฉะนั้นคนอื่นจะมีปัญหากับโมดูลที่เข้ากันไม่ได้กับความปลอดภัยระดับนี้เป็นประจำ

ขออภัยหากนี่ไม่ใช่คำตอบที่คุณคาดหวัง ปัญหาหลักน่าจะเป็นจาวาสคริปต์และวิธีการจัดระเบียบบางส่วนอาจคาดหวังว่าจะมีอยู่เสมอและเร็ว นอกจากนี้ฉันไม่ทราบว่ามีอะไรเปลี่ยนแปลงใน magento2 แต่ใน magento 1 ยังมีสถานที่อื่นที่ถ่ายทอดบน inline JS พวกเขาอาจยังไม่ได้รับการฟื้นฟูอย่างสมบูรณ์