- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
По поводу:
В этой секции загружается http://cm.g.doubleclick.net - он, судя по тому, что я нарыл, принадлежит к группе вредоносных доменов. Т.е. правило *.doubleclick.net его автоматически разрешает.
ИМ другой - http://chzda.ru/
из счетчиков стоит только яндексметрика и гугланатитикс.
Есть капча, подгрузка карт с яндекса и гугла, автоматические ответы серверов транспортных компаний и Почты России на запросы расчета стоимости доставки, SMS шлюз для уведомлений покупателей и автоматические почтовые уведомления.
Плюс видео youtube и кнопки Ya.share есть на сайте(из того, что я ешё увидела).
Ваш заголовок для .htaccess CSP в режиме Report-Only:
После установки проверяете, что на сайте все работает(включая процедуру покупки/оплаты и т.д), в консоли браузер смотрите блокировки - нужные домены добавляете в CSP. Если все работает - убираете "-Report-Only" из заголовка - заголовок будет работать уже в "боевом" режиме.
Будут вопросы - см. сообщение 888
Плюс видео youtube и кнопки Ya.share есть на сайте(из того, что я ешё увидела).
Ваш заголовок для .htaccess CSP в режиме Report-Only:
После установки проверяете, что на сайте все работает(включая процедуру покупки/оплаты и т.д), в консоли браузер смотрите блокировки - нужные домены добавляете в CSP. Если все работает - убираете "-Report-Only" из заголовка - заголовок будет работать уже в "боевом" режиме.
Будут вопросы - см. сообщение 888
Server error!
The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there was an error in a CGI script.
If you think this is a server error, please contact the webmaster.
Error 500
Error 500
Это:
- ошибка синтаксиса .htaccess. Опечатка или ваш веб-сервер не понимает переносы строк \ и придётся вытягивать всю CSP в одну строку.
- хостер ограничил длину заголовков
Вот ваша CSP в одну строку, попробуйте вставить её:
Header set Content-Security-Policy-Report-Only "default-src 'self' chzda.ru *.chzda.ru;connect-src 'self' chzda.ru *.chzda.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com youtube.com https://youtube.com ytimg.com https://ytimg.com *.yandex.ru https://*.yandex.ru *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;font-src 'self' chzda.ru *.chzda.ru *.gstatic.com https://*.gstatic.com;frame-src 'self' chzda.ru *.chzda.ru *.google.com https://*.google.com yastatic.net https://yastatic.net youtube.com https://youtube.com ytimg.com https://ytimg.com *.yandex.ru https://*.yandex.ru *.youtube-nocookie.com https://*.youtube-nocookie.com *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;img-src 'self' chzda.ru *.chzda.ru data: *.google-analytics.com https://*.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com google-analytics.com https://google-analytics.com yandex.st https://yandex.st yastatic.net https://yastatic.net *.yandex.net https://*.yandex.net *.yandex.ru https://*.yandex.ru *.ytimg.com https://*.ytimg.com;object-src 'self' chzda.ru *.chzda.ru youtube.com https://youtube.com ytimg.com https://ytimg.com *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;script-src 'self' 'unsafe-eval' 'unsafe-inline' chzda.ru *.chzda.ru *.google-analytics.com https://*.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com google-analytics.com https://google-analytics.com yandex.st https://yandex.st yastatic.net https://yastatic.net *.yandex.ru https://*.yandex.ru;style-src 'self' 'unsafe-inline' chzda.ru *.chzda.ru *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com *.yandex.ru https://*.yandex.ru;"
</IfModule>
---------- Добавлено 30.05.2016 в 20:03 ----------
По поводу:
В этой секции загружается http://cm.g.doubleclick.net - он, судя по тому, что я нарыл, принадлежит к группе вредоносных доменов. Т.е. правило *.doubleclick.net его автоматически разрешает.
Итак, выше были приведены домены для Adsense
. . . .
На основании каких умозаключений составлен данный список?
Итоги годичного анализа CSP-репортов:
- Адсенс не всегда вставляется в iframe. Изредка бывает и в <object> (похоже, для некоторых мобильных)
- на основной странице Гугл загружает свои скрипты (с собственных специфических поддоменов), которые работают с содержимым iframe с рекламой. На некоторых сайтах этих скриптов/поддоменов не было ни разу за год, на других - появляются очень часто.
Поэтому, настраивать Адсенс по консоли браузера - не достаточно. Для разных мобильных девайсов Гугль использует спефицические поддомены, их можно выловить только по отчётам
Не подскажите, где увеличить размер передаваемого заголовка в apache? Возникла проблема из-за большого количества доменов в csp - сайт вылетает с ошибкой.
Не подскажите, где увеличить размер передаваемого заголовка в apache? Возникла проблема из-за большого количества доменов в csp - сайт вылетает с ошибкой.
Про размеры заголовка можно прочитать здесь - директива называется LimitRequestFieldsize.
Здравствуйте.
Столкнулся с такой проблемой, что приложение советник яндекса в firefox прекрасно блокируется по директиве connect-src, а в хроме он как появлялся так и появляется. Даже если все явно запретить, то все равно он подгружался, только директивой sandbox его можно было заблокировать но при этом, конечно переставали подгружаться и нужные ресурсы.
Хотел выяснить причину такого поведения перебирая все директивы CSP и читая мануалы, и наткнулся на такой документ https://developer.chrome.com/extensions/contentSecurityPolicy в котором написано следующее
В свободном переводе мной было понято как то что мы разрешаем (в белом списке ) blob, filesystem, https, и расширения хрома.
Поясните, правильно ли я понял, что в браузере Chrome расширения, в том числе и яндекс советник не будут блокироваться CSP, и вариант блокировки яндекс советника средствами CSP рассматривать не стоит?
Добрый день, ребята ищу помощи :)
задача такая есть сайт youtwig ru там установлены счетчики от гугла/яндекс/ли/рамблер топ100 так же есть второй домен twig su вопрос в следующем, как грамотно настроить CSP что бы не попасть по фильтры и заблочить яндекс советника, я так понимаю что лучше делать с помощью connect-src
кто-то может помочь?
В свободном переводе мной было понято как то что мы разрешаем (в белом списке ) blob, filesystem, https, и расширения хрома.
Поясните, правильно ли я понял, что в браузере Chrome расширения, в том числе и яндекс советник не будут блокироваться CSP, и вариант блокировки яндекс советника средствами CSP рассматривать не стоит?
nick_mad, manifest.json - это для самих расширений Хрома, у них своя внутренняя CSP, которая действует только на само это расширение.
Когда браузер показывает страницу сайта - работает CSP сайта. Когда расширение/плагин Хрома лезет куда-то ко внешним url - работает его CSP, но только для него самого. На страницы сайта оно не действует.
Но, в браузере Хром расширения имеют доступ к http-заголовкам и могут подменять их. В том числе и CSP сайта, тк она передаётся заголовком. Возможно, Я.Советник это делает.
Ladycharm вы не подскажите, какие настройки надо внести в конфигурацию apache 2, чтобы в htaccess можно было разделять строку символом "\" Заранее благодарю.