У меня нормально работает магазин с последней версией Magento (в настоящее время 2.1.1), и я пытаюсь улучшить безопасность с помощью политики безопасности контента на Apache 2.4.7 (Ubuntu 14.04). Я удалил все теги <script> со страниц содержимого и создал отдельные файлы .js.
На безопасность Apache я установил:
Набор заголовков Content-Security-Policy "default-src 'self'"
Тем не менее, это не работает. Похоже, сам Magento добавил несколько тегов "<script>". Пример из самых первых строк исходного текста:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
Поэтому мне кажется, что для того, чтобы настроить CSP, мне нужно включить «unsafe-inline», что в конце концов не совсем безопасно.
Политика заголовка Content-Security-policy "default-src" self "script-src" self "'unsafe-inline"' unsafe-eval '".
Кто-нибудь знает, как правильно установить Magento с CSP? Спасибо!
источник