मेरे पास Magento के नवीनतम संस्करण (वर्तमान में 2.1.1) के साथ ठीक चलने वाला एक स्टोर है और मैं Apache 2.4.7 (Ubuntu 14.04) पर सामग्री सुरक्षा नीति के माध्यम से सुरक्षा में सुधार करने की कोशिश कर रहा हूं। मैंने सभी "<स्क्रिप्ट>" टैग को सामग्री पृष्ठों से हटा दिया था और अलग-अलग फ़ाइलों को बनाया था। js
अपाचे की सुरक्षा पर मैंने सेट किया है:
हेडर ने सामग्री-सुरक्षा-नीति "डिफ़ॉल्ट-src 'स्व'" सेट की
हालाँकि, यह काम नहीं कर रहा है। ऐसा लगता है कि Magento ने ही कुछ "<script>" टैग जोड़े हैं। बहुत पहले स्रोत लाइनों से उदाहरण:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var आवश्यकता = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
तो मुझे ऐसा लगता है कि CSP को कॉन्फ़िगर करने के लिए मुझे "असुरक्षित-इनलाइन" सक्षम करना होगा जो कि वास्तविक सुरक्षित नहीं है।
हेडर ने सामग्री-सुरक्षा-नीति "डिफ़ॉल्ट-src 'स्वयं' script-src 'self' 'असुरक्षित-इनलाइन' 'असुरक्षित-eval" सेट किया।
किसी को पता है कि कैसे Magento ठीक से CSP के साथ सेट है? धन्यवाद!