Magento 2.1.1 - поліпшення безпеки за допомогою політики безпеки вмісту

У мене магазин працює з останньою версією Magento (на даний момент 2.1.1), і я намагаюся покращити безпеку за допомогою політики безпеки вмісту на Apache 2.4.7 (Ubuntu 14.04). Я видалив увесь тег <<script> "зі сторінок вмісту та створив розділені files.js.

Щодо безпеки Apache, я встановив:

Набір заголовків Політика безпеки-вмісту "default-src" self ""

Однак це не працює. Здається, сам Magento додав кілька тегів "<script>". Приклад із перших джерельних рядків:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var
Requ = { "baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

Тож мені здається, що для налаштування CSP я повинен увімкнути "небезпечний вбудований", який не є реальним безпечним.

Набір заголовків: Content-Security-Policy "default-src 'self" script-src' self '' unsafe-inline '' unsafe-eval '".

Хтось знає, як правильно встановити Magento з CSP? Дякую!

Проста відповідь: вибачте, це не так просто зробити це "безпечним".

Позитивна сторона полягає в тому, що у вас майже немає вмісту, який надав користувач, і тому це досить невеликий мінус. Принаймні для простого і нормального випадку.

Я бачу, що це налаштування, яке повинно абсолютно працювати та застосовуватись для області адміністратора, а також загалом.

Щоб відповісти на ваше запитання, можливо, це найпростіший спосіб зробити запит на функцію на форумі в магенто і надіслати на нього деякі люди спільноти магенто. Оскільки, також потрібні певні поради в розробниках для розробників модулів, інакше люди регулярно матимуть проблеми з модулями, несумісними з цим рівнем безпеки.

Вибачте, якщо це не відповідь, яку ви очікували. Основна проблема - це, мабуть, JavaScript і те, як він організований, деякі частини можуть очікувати його завжди і рано. Крім того, я не знаю, що змінилося ще в magento2, але в magento 1 були також деякі інші місця, які передаються на вбудованому JS, вони, можливо, ще не повністю відновлені.