Tengo una tienda que funciona bien con la última versión de Magento (actualmente 2.1.1) y estoy tratando de mejorar la seguridad a través de la Política de seguridad de contenido en Apache 2.4.7 (Ubuntu 14.04). Eliminé toda la etiqueta "<script>" de las páginas de contenido y creé archivos separados .js.
En la seguridad de Apache he establecido:
Conjunto de encabezado Content-Security-Policy "default-src 'self'"
Sin embargo, no está funcionando. Parece que Magento mismo agregó algunas etiquetas "<script>". Ejemplo de las primeras líneas de origen:
<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
Entonces, me parece que para configurar CSP tendría que habilitar "inseguro en línea" que no es realmente seguro después de todo.
Conjunto de encabezado Content-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'".
¿Alguien sabe cómo configurar Magento correctamente con CSP? ¡Gracias!
fuente