Xali
31. Dezember 2018 um 11:53
1
Hat jemand Erfahrung wie im normalen 08/15 Shopware Shop die Content-Security-Policy aussehen muss ?
Ich habe einige (!) der “Referenz-Shops” gechecked und dort keine Implementierung gefunden.
Macht hier Shopware Probleme ? Ich verliere gerne unser A+ Security Rating ;-).
Danke vorab wenn jemand herausgefunden hat welche Settings Shopware benötigt um den Shop bestmöglichst abzusichern.
/Xali
Im alten Shop (xt commerce 3.04) hatten wir dies:
#add_header Content-Security-Policy “default-src ‘self’; script-src ‘self’;” ;
kulli
31. Dezember 2018 um 12:40
2
Grundeinstellungen - System - Inputfilter
Was ist ein A+ Security Rating ? und warum verliert Ihr es gerne ?
Xali
31. Dezember 2018 um 13:41
3
https://observatory.mozilla.org/
A+ erhält man nur mit entsprechender CSP.
Und oben bitte Ironie-Tags hinzufügen.
Ich glaube nicht das der Input Filter das gleiche macht, auch da wir Proxies vorgeschaltet haben und bereits dort die Header gesetzt werden.
CSP würde ich auch gerne nutzen. Grundsätzliches Problem für eine wirklich sinnvolle CSP Konfiguration ist aber ja leider, dass Shopware in der Standard Installation Inline Javascript nutzt. Ich kann aktuell auch nicht abschätzen, wie groß der Aufwand ist, das inline Javascript auszulagern.