Настройка CSP - Content Security Policy

Аналогично:

"Content Security Policy: Директива 'frame-src' устарела. Пожалуйста, вместо неё используйте директиву 'child-src'."

Протестирую

Друзья, если у Вас на сайте есть Адсенс и выключен unsafe-eval, проверьте логи...

Где-то с 27.04 начал сыпаться такой репорт

violated-directive: connect-src 

blocked-uri: https://pagead2.googlesyndication.com

А с 06.05, добавился

violated-directive: script-src

blocked-uri: eval

Доход, соответственно упал. Похоже, что сейчас Адсенс требует включения unsafe-eval. Числа с 6 мая логи забиты этим репортом, аккурат на каждый блок рекламы на странице.

Что странно, не все посетители репортуют об этом. В основном это все яблочные устройства, Хром начиная с 50 версии и андроид устройства. По хрому, были и младше версии в репортах, но там что-то не ясно на что репорт, в blocked-uri: пусто. Похоже это все тот же eval.. Может были и другие браузеры, но этих у меня подавляющее большинство.

Вчера отключил CSP, доход попер вверх.:p

ЗЫ Жаль, что только вчера это обнаружил😒

Ladycharm,

нужна Ваша помощь по настройке CSP для моего ИМ. Хотелось бы через ЛС

Поясните, пожалуйста, эту фразу. Что нужно сделать?

Если у Вас в логах ничего такого нет, то ничего делать не нужно.

Если есть, то примерно так:

Content-Security-Policy "... script-src 'self' 'unsafe-inline' 'unsafe-eval' ..."

Спасибо!

Логи отключены, а 'unsafe-eval' уже стояла.

Если я всё правильно поняла, то у вас на сайте используются счетчики liveinternet, mail, spylog, Google Analytics и Метрика, а также соц.кнопки от QIP и плагин Livetex.

Ваш CSP заголовок для .htaccess (вместо yoursite.ru поставите ваш домен без www):

<ifModule mod_headers.c>
Header set Content-Security-Policy-Report-Only "\
default-src 'self' yoursite.ru *.yoursite.ru;\
connect-src 'self' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.yandex.ru https://*.yandex.ru;\
font-src 'self' yoursite.ru *.yoursite.ru *.gstatic.com https://*.gstatic.com *.livetex.ru https://*.livetex.ru;\
frame-src 'self' yoursite.ru *.yoursite.ru *.yandex.ru https://*.yandex.ru;\
img-src 'self' yoursite.ru *.yoursite.ru data: *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.spylog.com https://*.spylog.com *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\
script-src 'self' 'unsafe-eval' 'unsafe-inline' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\
style-src 'self' 'unsafe-inline' yoursite.ru *.yoursite.ru;\
"
</IfModule>

Он в режиме Report-Only, полазите по сайт и если в консоли браузера ошибок нет - уберёте "-Report-Only".

ЛС у вас заработают только когда будет больше 10 сообщений. Будут вопросы - пишите на временный e-mail trashbin13@yandex.ru либо в этой ветке.

Убрал со всех сайтов CSP - надоело мазахизмом заниматься, подстраивая свои сайты под браузеры Интернет-дебилов. По наблюдениям, посещаемость после этого немного выросла.

Посмотрел заголовки некоторых крупных Интернет-проектов, в том числе моей тематики, - никто не использует CSP.

ИМ другой - http://chzda.ru/

из счетчиков стоит только яндексметрика и гугланатитикс.

Есть капча, подгрузка карт с яндекса и гугла, автоматические ответы серверов транспортных компаний и Почты России на запросы расчета стоимости доставки, SMS шлюз для уведомлений покупателей и автоматические почтовые уведомления.

---------- Добавлено 20.05.2016 в 13:24 ----------

<ifModule mod_headers.c>

Header set Content-Security-Policy-Report-Only "\

default-src 'self' yoursite.ru *.yoursite.ru;\

connect-src 'self' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.yandex.ru https://*.yandex.ru;\

font-src 'self' yoursite.ru *.yoursite.ru *.gstatic.com https://*.gstatic.com *.livetex.ru https://*.livetex.ru;\

frame-src 'self' yoursite.ru *.yoursite.ru *.yandex.ru https://*.yandex.ru;\

img-src 'self' yoursite.ru *.yoursite.ru data: *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.spylog.com https://*.spylog.com *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\

script-src 'self' 'unsafe-eval' 'unsafe-inline' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\

style-src 'self' 'unsafe-inline' yoursite.ru *.yoursite.ru;\

"

</IfModule>

ИМ другой - http://chzda.ru/

из счетчиков стоит только яндексметрика и гугланатитикс.

Есть капча, подгрузка карт с яндекса и гугла, автоматические ответы серверов транспортных компаний и Почты России на запросы расчета стоимости доставки, SMS шлюз для уведомлений покупателей и автоматические почтовые уведомления.

Предлагаю порассуждать на тему CSP для AdSense.

Тем, кто в танке: мешать сюда кучу другого шлака не нужно - ТОЛЬКО для AdSense, без разных метрик и прочей хрени.

Итак, выше были приведены домены для Adsense (дубли с HTTPS не привожу, чтобы не мешать чтению):

font-src *.googleapis.com fonts.gstatic.com

frame-src googleads.g.doubleclick.net *.googleadservices.com *.googlesyndication.com

img-src 'self' *.2mdn.net googleads.g.doubleclick.net *.googleapis.com pagead2.googlesyndication.com *.gstatic.com

object-src googleads.g.doubleclick.net *.gstatic.com

script-src 'self' 'unsafe-eval' 'unsafe-inline' googleads.g.doubleclick.net pagead2.googlesyndication.com *.gstatic.com

style-src 'self' 'unsafe-inline' *.gstatic.com fonts.googleapis.com

На основании каких умозаключений составлен данный список? Как ранее писали, Adsense рекламные блоки загружает через iframe - на их содержимое мы влиять не можем, поскольку загружается оно с других ресурсов. Для загрузки этого содержимого нам нужно подключить скрипт по адресу: //pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

В нем перечисляются домены pagead2.googlesyndication.com, googleads.g.doubleclick.net, \.google\.com, а также встроенные скрипты и стили.

Т.е. разрешить в CSP:

script-src 'unsafe-eval' 'unsafe-inline' googleads.g.doubleclick.net pagead2.googlesyndication.com

style-src 'unsafe-inline'

Из этого скрипта подключается iframe, поэтому в CSP разрешаем:

frame-src googleads.g.doubleclick.net pagead2.googlesyndication.com

Все остальное содержимое, как я понимаю, загружается через iframe, и правила CSP на это не действуют.