من وظیفه دارم برای محافظت در برابر رمز ضرب و شتم کارت اعتباری ، به کلیه فروشگاه های Magento ، یک سیاست امنیتی برای محتوا اضافه کنم ، که می تواند از طریق سرپرست فروشگاه یا GoogleTagManager * در صورت وجود گذرواژه ، محافظت کند. بسیاری از این فروشگاه ها شامل دارایی (jQuery ، Bootstrap ، FontAwesome) از CDN های مختلف (CDNJS ، GoogleCDN) می شوند.

برای بارگذاری منابع ، من باید کل میزبان CDN را سفید کنم. ** این باعث شد که فکر کنم. :

احتمال اینکه یک بازیگر مخرب بتواند کد مخرب خود را به یکی از این CDN ها اضافه کند ، چیست؟

گزینه جایگزین برای سفید کردن لیست CDN ، انتقال هر منبع CDN به پایگاه داده های فروشگاه است. این بسیار خسته کننده و مستعد خطا است ، بنابراین می خواهم در صورت امکان از این کار اجتناب کنم.

* CSPv3 با اجازه دادن به لیست سفید کردن از یک منبع خاص ، این مشکل را حل می کند ، اما مرورگرها به احتمال زیاد مدت طولانی از CSP3 پشتیبانی نمی کنند. چون CSP2 هنوز پشتیبانی محدودی دارد.

** من می دانم که بهترین راه حل در اینجا جلوگیری از نشت رمز عبور است ، اما این امر تا حد زیادی از کنترل من خارج است زیرا مشتری ها بطور منظم به شرکت های بازاریابی اجازه می دهند تا از این منابع به مدیرهای بازاریابی دسترسی پیدا کنند. [19659007]