Corregido: Advertencias de política de seguridad de contenido en Magento 2

Estás leyendo la publicación: Corregido: Advertencias de política de seguridad de contenido en Magento 2

CSP, es decir, la política de seguridad de contenido, es una herramienta robusta introducida para prevenir ataques en su tienda Magento 2 que tiene como objetivo ofrecer una capa adicional de defensa para detectar y luchar contra Cross-Site Scripting (XSS) y ataques relacionados, incluidos los skimmers de tarjetas, sesión secuestro, secuestro de clics y más. A partir de la versión Magento 2.3.5, admite encabezados CSP y proporciona formas de configurarlos.

También se puede deshabilitar la política de seguridad de contenido de Magento 2. Sin embargo, deshabilitar CSP da como resultado más posibilidades de ataques a la tienda. En lugar de bloquear completamente todas las API de terceros, puede utilizar la siguiente solución y permitir la API de terceros seleccionada según sus requisitos.

CSP se implementa en Magento 2.3.5 con el objetivo de ofrecer una capa adicional de defensa para detectar y mitigar las secuencias de comandos entre sitios y sus ataques de inyección de datos relacionados.

Método para arreglar las advertencias de la política de seguridad de contenido en Magento 2:

Puede usar esta solución para resolver la advertencia que se muestra a continuación:

1. Crea un csp_lista blanca.xml presentar en Proveedor\Extensión\etc

https://domain.com cuentas.google.com

Puede agregar un dominio a la lista blanca para una política como script-src, style-src, font-src y otras agregando csp_whitelist.xml a la carpeta, etc. de su módulo personalizado.

Tenemos que pasar una identificación aleatoria única al campo de valor.

En la etiqueta de valor, ingrese el dominio que se menciona en la advertencia.

2. Crea un config.xml presentar en Proveedor\Extensión\etc

La política de seguridad de contenido funciona de dos modos:

1. informe – solo – Magento informa de las infracciones de la política, pero no actúa en consecuencia. Se utiliza principalmente para la depuración. CSP funciona en este modo de forma predeterminada.
2. modo restringido – Magento actúa en el caso de violaciones de políticas.

Aquí, usaremos el modo predeterminado con valor cero.

Es un ejemplo de advertencia ‘script-src’, puede usar la solución a continuación para este tipo de advertencias similares según la ruta y el método anteriores.

1. estilo-origen:
   

   https://domain.com https://accounts.google.com/gsi/style

   https://dominio.com https://accounts.google.com/gsi/style

2. marco-origen:
   

   https://domain.com https://accounts.google.com

   https://dominio.com https://cuentas.google.com

3. conectar-origen:
   

   https://domain.com https://accounts.google.com/gsi/status

   https://dominio.com https://accounts.google.com/gsi/status

4. img-src:
   

   https://domain.com https://meetanshi.com/media.png

   https://dominio.com https://meetanshi.com/media.png

5. fuente-src:
   

   https://domain.com *.gstatic.com

   https://dominio.com *.gstatic.com

Puede resolver cualquier tipo de advertencia de CSP siguiendo el método anterior.

Formas de agregar recursos incluidos en la lista blanca al código personalizado

La siguiente tabla describe cada tipo de CSP para configurarlo para su código/extensión/tema personalizado

Eso es todo.

¿Alguna duda? Si es así, menciónelos en la sección de Comentarios a continuación para que pueda ayudarlo lo antes posible.

Comparta sus pensamientos sobre Magento CSP en la sección de comentarios a continuación.

Además, le agradecería que me ayudara a correr la voz sobre la publicación entre la comunidad de Magento a través de las redes sociales.

¡Gracias!