Content Security Policy при https

L
На сайте с 10.11.2013
Offline
45
1339

Добрый день! После перехода на https какие параметры лучше установить в csp? На сайте установлена rtb реклама и часто встречаются картинки по протоколу http. Логично установить upgrade-insecure-requests. Или лучше отлавливать http домены и добавлять их в исключения одновременно с block-all-mixed-content ? Спасибо.

В старую тему по CSP уже нельзя добавить сообщения...

Оптимизайка
На сайте с 11.03.2012
Offline
396
#1

После перехода на https я вообще убрал CSP, т.к. устанавливал его в основном для борьбы с "левой" рекламой. Теперь таковой и так нет, а также нет затруднений с поддержанием актуального списка доменов рекламодателей.

А вы с какой целью CSP использовать хотите?

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Webliberty
На сайте с 30.10.2010
Offline
103
#2

Оптимизайка, думаете на HTTPS нет смысла устанавливать CSP? Я после переезда его оставил, может тоже стоит убрать? В отчетах встречаются до сих пор разные сайты, влияния которых не хотелось бы испытывать на себе...

⭐ Отличные цены на хостинг и домены! Регистрируйся здесь https://goo.gl/GJuxaD и получи скидку по промокоду 0D99-B091-1608-D49D                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        
LEOnidUKG
На сайте с 25.11.2006
Offline
1553
#3

При https не нужен при CSP.

CSP это полумера была т.к. по сути кто может проксировать трафик, тот просто добавляет свой CSP куда надо. Как пример мобильные провайдеры.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
L
На сайте с 10.11.2013
Offline
45
#4

Когда в каком-либо рекламном коде есть картинка по протоколу http, и параметр block-all-mixed-content не установлен, хром убирает замочек возле адресной строки и пишет, что сайт не защищён, так на странице присутствует смешанный контент. По крайней мере так было где-то пол года назад.

Если блокировать смешанный контент, то получается, что показ рекламы по http не будет учтен. Это мои предположения. Поэтому видимо лучше установить upgrade-insecure-requests.

Просто хотелось услышать чей-либо опыт в данном вопросе.

E
На сайте с 29.02.2012
Offline
126
#5

Допустим у вас есть сайт, на котором вы показываете рекламу пользователям и честно зарабатываете деньги. И всё идёт хорошо, пока к вам не начнут ходит пользователи с заражёнными браузерами. Заражённый браузер будет подменять рекламу на вашем сайте на свою и показывать её пользователю. Как следствие — пессимизация со стороны поисковиков и падение дохода. Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.

По сути Content Security Policy — это заголовок, который сервер отправляет браузеру. CSP лучше всего использовать в качестве углубленной защиты.

Кластеризатор ключевых слов (https://seoquick.com.ua/keyword-grouping/) - Группировка 20,000 слов за 1 минуту. Калькулятор качества Title (https://seoquick.com.ua/calculator-title/) - Калькулятор качества заголовков Генератор объявлений Google Ads (https://seoquick.com.ua/adwords-generator/) - Генерируй сотни объявлений
Webliberty
На сайте с 30.10.2010
Offline
103
#6

ezon, для этого я как раз и устанавливал CSP несколько лет назад, но выше пишут, что на HTTPS можно обойтись.

Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?

LEOnidUKG
На сайте с 25.11.2006
Offline
1553
#7
webliberty:

Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?

Могут. Но они и CSP правила тоже могут менять ☝

SV
На сайте с 03.11.2008
Offline
1393
#8
ezon:
Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.

"Зараженные браузеры" в твоей страшилке плевать хотели и на CSP и на всё другое.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
Alex Agent
На сайте с 07.04.2011
Offline
291
#9

По моему опыту от CSP больше геморроя, чем пользы. Я активно внедрял CSP после того, как мне дважды ломали один из трафиковых сайтов и подключали JS-клоаку для слива мобильного трафика, а я месяц не мог найти дыру, через которую эти гады ходили, и настроил CSP, чтобы хотя бы Google с Яшей в поиске не банили. В конце-концов нашел (кривой устаревший модуль для WP), однако паранойя не давала отказаться от CSP.

Но на информационном сайте, который монетизируется тем же AdSense, РСЯ, товарными виждетами или тизерами часто возникает ситуация, что рекламная сеть подключает новый скрипт или CDN с картинками, а CSP дает им грузится и в итоге это приводит к снижению дохода. А мониторить это в логе ошибок CSP никакого времени не хватит.

Всему свое время. Все сами принесут и все сделают. Быстрый и выгодный перевод денег Россия ↔ Украина онлайн (http://smartwm.ru/referral/cea1f09842be).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий