Резкое падение позиций в Яндексе, есть ответ Платона

Коллеги, подскажите, после добавления кода CSP и его отладки у всех с браузером Сафари все нормально?

Измените:

font-src 'self' http://fonts.gstatic.com:*

На:

font-src 'self' data: http://fonts.gstatic.com:*

Должно помочь...

До сих пор нет окончательного решения?

Нужны лишь ютуб, соцкнопки яндекса, РСЯ, Адсенс, леди кеш, кнопка от твиттера, виджет от вконтакте, счетчик ли.ру и метрика. Как, что и где прописать, чтобы это работало?

Akcium, Sunsonic, Vergiliy, Все сделал как советовали, но не помогло.

Было так:

img-src 'self' data: yastatic.net

Ставил так:

img-src 'self' data: *.yastatic.net

И даже так:

img-src 'self' data: http://yastatic.net:*

Все равно выдает именно в момент поиска встроенного на сайте через фрейм поиска от Яндекса вот это:

Refused to load the image 'http://yastatic.net/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico' because it violates the following Content Security Policy directive: "img-src https: data:"

и там же далее адрес страницы:

https://yandex.ru/sitesearch?text...

Возможно дело не в yastatic.net а в адресе:

https://yandex.ru/...

Могу поделится кодом, где есть все перечисленное Вами (в том числе, благодаря советам на форуме), кроме ледикеш (придется отловить в консоли и добавить самостоятельно)

<ifModule mod_headers.c> 
Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 
Header set X-Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru  mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data:  0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 
Header set X-WebKit-CSP "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru an.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data:  0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 
</IfModule> 

добавить в .htaccess. Возможно придется допиливать, смотрите ошибки консоли до и после установки.

разобрался

Через бар мазиллы смотрел, так там еще добавил ошибку при поиске на фреймовом Яндекса:

Загрузка смешанного (небезопасного) отображаемого содержимого на защищённой странице http://clck.yandex.ru/click/dtype=iweb/path...

<ifModule mod_headers.c> 

Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 

Header set X-Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru  mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data:  0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 

Header set X-WebKit-CSP "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru an.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data:  0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" 

</IfModule> 

Спасибо! Добавил в хтаксесс. Ошибок нет, все вроде бы работает. Будем теперь следить за Гобонго и иже с ними.

Я сделал скрипт против подмены рекламы от advmaker. Скрипт раздаю бесплатно. Пишите в личку. Я здесь не часто бываю и за темой редко слежу.

---------- Добавлено 30.09.2014 в 20:21 ----------

Тестируйте вирусом, кому не лень. http://muz-color.ru/banners/b-t.html Пишите отзывы пожалуйста.

А зачем в личку? открываем исходный код - там виден скрипт. Спасибо, попробуем