1
Magento 2.1.1-コンテンツセキュリティポリシーでセキュリティを向上させる
Magentoの最新バージョン(現在は2.1.1)で正常に動作しているストアがあり、Apache 2.4.7(Ubuntu 14.04)のコンテンツセキュリティポリシーを通じてセキュリティを向上させようとしています。コンテンツページからすべての「<script>」タグを削除して、分離されたfiles.jsを作成しました。 Apacheのセキュリティについて、私は次のように設定しました。 ヘッダーセットContent-Security-Policy "default-src 'self'" ただし、機能していません。Magento自体が「<スクリプト>」タグを追加したようです。最初のソース行の例: <!doctype html> <html lang = "pt-BR"> <head> <スクリプト> var require = { "baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR " }; </スクリプト> したがって、CSPを構成するには、「安全でないインライン」を有効にする必要があるように思われますが、これは実際には安全ではありません。 ヘッダーセットContent-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval'"。 MagentoにCSPを適切に設定する方法を知っている人はいますか?ありがとうございました!