Magento 2.1.1-通过内容安全策略提高安全性

我的商店可以使用最新版本的Magento（当前为2.1.1）正常运行，并且正在尝试通过Apache 2.4.7（Ubuntu 14.04）上的内容安全策略来提高安全性。我已经从内容页面中删除了所有“ <script>”标记，并创建了单独的files.js。

关于Apache的安全性，我设置了：

标头设置了Content-Security-Policy“ default-src'self'”

但是，它不起作用。Magento本身似乎添加了一些“ <script>”标签。最初的源代码行中的示例：

<！doctype html>
<html lang =“ pt-BR”>
<头>
<脚本>
var require = {
“ baseUrl”：“ http://example.com/pub/static/frontend/Magento/luma/pt_BR ”
}; </脚本>

因此在我看来，为了配置CSP，我必须启用“ unsafe-inline”，这毕竟不是真正的安全。

标头设置了Content-Security-Policy“ default-src'self'script-src'self''unsafe-inline''unsafe-eval'”。

有谁知道如何使用CSP正确设置Magento？谢谢！

简单的答案是：抱歉，要实现这种“安全性”并非易事。

积极的一面是，您几乎没有用户贡献任何内容，因此这是一个很小的缺点。至少对于简单和正常的情况。

我看到这是一个应该绝对有效的设置，并且对于管理区域以及一般而言都应强制执行。

要回答您的问题，这可能是在magento论坛中进行功能请求并向magento社区的一些人ping的最简单方法。因为，还需要在devdocs中为模块创建者提供建议，否则人们经常会遇到与该安全级别不兼容的模块问题。

抱歉，如果这不是您期望的答案。主要问题可能是javascript及其组织方式，某些部分可能期望它始终存在。另外，我不知道magento2发生了什么变化，但是在magento 1中，还有其他一些地方依赖于内联JS，它们可能尚未完全重构。