sixbysix

Magento 2 CSP Fixer

维护者

详细信息

gitlab.com/sixbysix/magento2-csp-fixer

主页

源代码

问题

安装: 2

依赖: 0

建议者: 0

安全性: 0

星标: 0

分支: 0

1.0.0 2024-06-29 00:19 UTC

MIT d23ea36203677ce3c17b761be83199dd7fcd6824

  • Daniel Ness <daniel.woop@sixbysix.co.uk>

This package is auto-updated.

Last update: 2024-09-04 18:37:18 UTC

README

https://gitlab.com/sixbysix/magento2-csp-fixer

此扩展提供了一些工具,帮助您在您的Magento 2商店中实施内容安全策略(CSP)。

目前,Magento商店可能以仅报告模式运行其CSP策略,并符合PCI DSS。然而,这不是一个长期解决方案,从2025年3月起,所有Magento商店都要求具备完全运作的CSP。

功能

  • HTML修复器
    • 将内联事件监听器转换为基于标签的事件监听器。
    • 将内联样式转换为基于标签的样式。
    • 将内联脚本转换为基于标签的脚本。
    • 为内联脚本和样式生成nonce属性。
  • CSP指令管理
    • 从Magento管理面板管理您的CSP指令。

安装

  1. 使用Composer将扩展添加到您的Magento 2商店
     composer require sixbysix/magento2-csp-fixer
  2. 启用扩展
     bin/magento module:enable SixBySix_CspFixer
 bin/magento setup:upgrade

配置

控制模式(仅报告或严格模式)

  1. 转到 商店 > 配置 > 安全 > 内容安全策略 (CSP)
  2. 打开 模式 部分。
  3. 在每一部分中,您可以启用/禁用“仅报告”模式。

CSP Mode Configuration

启用修复器

  1. 转到 商店 > 配置 > 安全 > 内容安全策略 (CSP)
  2. 打开 CSP修复器 部分。
  3. 启用 设置为
  4. 如果您启用“调试”选项,修复器将在MAGE_ROOT/var/log/sixbysix_cspfixer.log中记录对页面所做的更改。

CSP Fixer Configuration

管理CSP策略

  1. 转到 商店 > 配置 > 安全 > 内容安全策略 (CSP)
  2. 打开 CSP策略 部分。
  3. 使用 启用 字段启用或禁用CSP策略注入。
  4. 策略 字段下,您可以添加您的CSP策略。这些将在页面加载期间注入到CSP白名单中。

CSP Policies Configuration

测试

此存储库的提交将触发GitLab CI管道,运行以下测试。

注意:所有测试都在干净的Magento 2.4.*实例上执行。

  • phpstan
    •
  • phpunit
    •