Magento 2.1.1 - Améliorez la sécurité avec la politique de sécurité du contenu

10

J'ai un magasin qui fonctionne bien avec la dernière version de Magento (actuellement 2.1.1) et j'essaie d'améliorer la sécurité via la politique de sécurité du contenu sur Apache 2.4.7 (Ubuntu 14.04). J'avais supprimé toutes les balises "<script>" des pages de contenu et créé des fichiers.js séparés.

Sur la sécurité d'Apache, j'ai défini:

Ensemble d'en-tête Content-Security-Policy "default-src 'self'"

Cependant, cela ne fonctionne pas. Il semble que Magento lui-même ait ajouté des balises "<script>". Exemple des toutes premières lignes source:

<! doctype html>
<html lang = "pt-BR">
<head>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>

Il me semble donc que pour que CSP soit configuré, je dois activer "unsafe-inline" qui n'est pas vraiment sûr après tout.

Ensemble d'en-tête Content-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'".

Est-ce que quelqu'un sait comment Magento est correctement configuré avec CSP? Je vous remercie!

Luiz Junior
la source

Réponses:

0

La réponse est simple: désolé, ce n'est pas simple de rendre cela "sécurisé".

Le côté positif est que vous n'avez presque aucun contenu fourni par les utilisateurs et c'est donc un assez petit inconvénient. Du moins pour le cas simple et normal.

Je vois que c'est un paramètre qui devrait absolument fonctionner et être appliqué pour la zone d'administration, et aussi en général.

Pour répondre à votre question, c'est peut-être le moyen le plus simple de faire une demande de fonctionnalité sur le forum magento et d'y envoyer des requêtes ping à certaines personnes de la communauté magento. Parce que, il a également besoin de conseils dans les devdocs pour les créateurs de modules, sinon les gens auraient régulièrement des problèmes avec les modules non compatibles avec ce niveau de sécurité.

Désolé si ce n'est pas la réponse que vous attendez. Le principal problème est probablement le javascript et comment il est organisé, certaines parties peuvent s'y attendre toujours et tôt. De plus, je ne sais pas encore ce qui a changé dans magento2, mais dans magento 1, il y avait aussi d'autres endroits qui relayaient sur JS en ligne, ils ne sont peut-être pas encore complètement refactorisés.

Flyingmana
la source