Eu tenho uma loja funcionando bem com a versão mais recente do Magento (atualmente 2.1.1) e estou tentando melhorar a segurança através da Política de Segurança de Conteúdo no Apache 2.4.7 (Ubuntu 14.04). Eu removi todas as tags "<script>" das páginas de conteúdo e criei files.js separados.
Na segurança do Apache eu configurei:
Conjunto de cabeçalhos Política de Segurança de Conteúdo "default-src 'self'"
No entanto, não está funcionando. Parece que o próprio Magento adicionou algumas tags "<script>". Exemplo das primeiras linhas de origem:
<! doctype html>
<html lang = "pt-BR">
<cabeça>
<script>
var require = {
"baseUrl": " http://example.com/pub/static/frontend/Magento/luma/pt_BR "
}; </ script>
Portanto, parece-me que, para ter o CSP configurado, eu teria que habilitar "inseguros em linha", o que não é realmente seguro, afinal.
Conjunto de cabeçalhos Content-Security-Policy "default-src 'self' script-src 'self' 'inseguro-inline' 'unsafe-eval'".
Alguém sabe como ter o Magento configurado corretamente com o CSP? Obrigado!