Magento 2.1.1-コンテンツセキュリティポリシーでセキュリティを向上させる

Magentoの最新バージョン（現在は2.1.1）で正常に動作しているストアがあり、Apache 2.4.7（Ubuntu 14.04）のコンテンツセキュリティポリシーを通じてセキュリティを向上させようとしています。コンテンツページからすべての「<script>」タグを削除して、分離されたfiles.jsを作成しました。

Apacheのセキュリティについて、私は次のように設定しました。

ヘッダーセットContent-Security-Policy "default-src 'self'"

ただし、機能していません。Magento自体が「<スクリプト>」タグを追加したようです。最初のソース行の例：

<！doctype html>
<html lang = "pt-BR">
<head>
<スクリプト>
var require = {
"baseUrl"： " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </スクリプト>

したがって、CSPを構成するには、「安全でないインライン」を有効にする必要があるように思われますが、これは実際には安全ではありません。

ヘッダーセットContent-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'"。

MagentoにCSPを適切に設定する方法を知っている人はいますか？ありがとうございました！

簡単な答えは次のとおりです。申し訳ありませんが、これを「安全」にすることは簡単ではありません。

良い面は、ユーザーが投稿したコンテンツがほとんどないため、これはかなり小さな欠点です。少なくとも、単純で通常のケースでは。

私はこれが絶対に機能し、管理領域および一般的に適用される設定であることを理解しています。

あなたの質問に答えるには、magentoフォーラムで機能リクエストを行い、magentoコミュニティの一部の人にpingを送信するのが最も簡単な方法かもしれません。モジュール作成者向けのdevdocsでのアドバイスも必要になるため、そうでない場合は、このレベルのセキュリティと互換性のないモジュールに関する問題が定期的に発生します。

これがあなたが期待する答えではない場合は申し訳ありません。主な問題はおそらくJavaScriptとその編成方法であり、一部の部分では常に初期の段階でそれが予期される場合があります。また、magento2でまだ何が変更されたかはわかりませんが、magento 1では、インラインJSで中継された他の場所もありましたが、まだ完全にリファクタリングされていない可能性があります。