Présentation de la politique de sécurité du contenu
Une politique de sécurité du contenu (CSP) peut fournir des niveaux de défense supplémentaires pour les installations Adobe Commerce en contribuant à détecter et à atténuer les attaques de type « Cross-Site Scripting » (XSS) et les attaques par injection de données associées. Ce vecteur d'attaque courant fonctionne en injectant du contenu malveillant qui prétend faussement provenir du site Web. Une fois le contenu malveillant chargé et exécuté, il peut lancer le transfert non autorisé de données.
La CSP fournit un ensemble normalisé de directives qui indique au navigateur quelles ressources de contenu peuvent être approuvées et lesquelles doivent être bloquées. À l’aide de politiques soigneusement définies, la CSP peut restreindre le contenu du navigateur pour autoriser uniquement l’affichage des ressources whitelistées.
Configuration
Pour éviter d’interférer avec les opérations du site, la CSP peut être mise en œuvre par phases. CSP possède deux modes de fonctionnement de base : report-only mode et restrict mode.
Mode Rapport uniquement : le navigateur reçoit pour instruction de signaler les violations de politique, mais de ne pas les appliquer. Chaque fois qu’une ressource demandée enfreint la CSP, le navigateur consigne les erreurs résultantes dans la console. Le journal de la console peut ensuite être utilisé pour enquêter sur la cause de chaque violation.
Il est important d’examiner toutes les erreurs CSP au fur et à mesure qu’elles se produisent et d’affiner les politiques jusqu’à ce que toutes les ressources nécessaires soient whitelistées. Vous pouvez basculer en toute sécurité vers restrict mode lorsque plus aucune erreur ne se produit. Dans le cas contraire, une CSP mal configurée peut entraîner l’affichage d’une page vierge dans le navigateur, avec de nombreuses erreurs de console. Une CSP correctement configurée permet de diffuser du contenu placé sur la liste autorisée sans aucun impact perçu sur les performances.
Mode de restriction : le navigateur est chargé d’appliquer toutes les politiques de contenu et de limiter la publication aux ressources whitelistées.
La première phase de la mise en œuvre de la CSP d’Adobe Commerce a été introduite dans Adobe Commerce 2.3.5 et a rendu la CSP disponible en report-only mode par défaut. Dans Adobe Commerce 2.4.7 et les versions ultérieures, la CSP est configurée en restrict-mode par défaut pour les pages de paiement dans les zones storefront et admin, et en mode report-only pour toutes les autres pages. L’en-tête CSP correspondant ne contient pas le mot-clé unsafe-inline dans la directive script-src pour les pages de paiement. En outre, seuls les scripts intégrés placés sur la liste autorisée sont autorisés.
Comme CSP est configuré à partir du serveur plutôt qu’à partir de l’administrateur, la plupart des commerçants ont besoin de l’aide d’un intégrateur système ou d’un développeur pour le configurer correctement. Voir Politiques de sécurité du contenu dans le Guide du développeur de Commerce PHP.
Création de rapports
Par défaut, la CSP envoie les erreurs à la console du navigateur, mais peut être configurée pour collecter les journaux d’erreurs par requête HTTP. En outre, il existe plusieurs services tiers que vous pouvez utiliser pour surveiller, collecter et signaler les violations de CSP. Les violations de CSP peuvent être signalées à un point d’entrée pour la collecte en ajoutant l’URI à partir de l’administrateur ou à partir du fichier config.xml pour un module personnalisé. Voir Configuration de l’URI du rapport dans le Guide du développeur des extensions PHP de Commerce.
URI du rapport est un service qui surveille les violations de la CSP et affiche les résultats dans un tableau de bord. Les commerçants et les développeurs peuvent utiliser le service pour recevoir des rapports chaque fois que des violations de CSP se produisent.