마 젠토 2.1.1-콘텐츠 보안 정책으로 보안 향상

최신 버전의 Magento (현재 2.1.1)로 제대로 작동하는 상점이 있으며 Apache 2.4.7 (Ubuntu 14.04)의 콘텐츠 보안 정책을 통해 보안을 개선하려고합니다. 컨텐츠 페이지에서 모든 "<script>"태그를 제거하고 분리 된 files.js를 작성했습니다.

아파치의 보안에서 나는 다음과 같이 설정했다.

헤더 세트 Content-Security-Policy "default-src 'self'"

그러나 작동하지 않습니다. Magento 자체에 "<script>"태그가 추가 된 것 같습니다. 첫 번째 소스 라인의 예 :

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ 스크립트>

따라서 CSP를 구성하려면 실제로 안전하지 않은 "안전하지 않은 인라인"을 활성화해야합니다.

헤더 세트 Content-Security-Policy "default-src 'self'script-src 'self' 'unsafe-inline' 'unsafe-eval' '

Magento를 CSP로 올바르게 설정하는 방법을 아는 사람이 있습니까? 감사합니다!

간단한 대답은 다음과 같습니다. 죄송합니다.이 "보안"을 만드는 것은 간단하지 않습니다.

긍정적 인면은, 사용자가 제공 한 컨텐츠가 거의 없기 때문에 이는 다소 작은 단점입니다. 최소한 단순하고 정상적인 경우.

나는 이것이 관리 영역뿐만 아니라 일반적으로 절대적으로 작동하고 시행되어야하는 설정이라는 것을 알았습니다.

귀하의 질문에 대답하기 위해, 그것은 마 젠토 포럼에서 기능 요청을하고 마 젠토 커뮤니티의 일부 사람들에게 핑을 보내는 가장 쉬운 방법 일 수 있습니다. 또한 모듈 작성자를위한 개발자 문서에 대한 조언이 필요하기 때문에 사람들은 정기적으로이 수준의 보안과 호환되지 않는 모듈에 문제가있을 것입니다.

이것이 답변이 아닌 경우 죄송합니다. 주요 문제는 아마도 자바 스크립트와 구성 방법 일 것입니다. 일부 부분은 항상 초기에 기대할 수 있습니다. 또한, 나는 magento2에서 무엇이 바뀌 었는지 알지 못하지만, magento 1에는 인라인 JS를 중계 한 다른 장소가 있었지만 아직 완전히 리팩토링되지 않았을 수 있습니다.