Резкое падение позиций в Яндексе, есть ответ Платона

Друзья. Внедрил CSP к себе на сайт час назад. Ни одного перехода еще не прошло, что огромный плюс! Дело в другом, буквально пять минут назад зашел позиции проверить и мой сайт выводится с табличкой, мол скачивание файлов с этого сайта может быть опасно.

Развейте мои доводы - это ведь не CSP?

olegaby, что с этим списком нужно сделать?

Можете привести пример, что именно должно блокироваться в случае подмены рекламы плагином AS Magic Player? У меня нет ни одного сайта с РСЯ иди Эдвордсом или еще какими то ни было тизирами, у меня все сайты коммерческие и без рекламы.

Откуда я знаю, что с ним нужно делать. Я просто немного расследую.. может какого-нибудь натолкнёт на мысль. Вроде как cps блокирует рекламу, только нужно составить правильный код в соответствии с рекламой сайта

Вот полная консоль на сериалу нет при включении magic player и промо хромо

magicplayer:init: set version: 1.0.1 init.js:14

adme: onDOMStart: got code: user_key=67edf7972b2e7e084fcc5670506c5f5478743ab586c197421868a99ba170d2bd gender=1 age=5 init.js:386

Refused to frame 'http://codegv.ru/u.html' because it violates the following Content Security Policy directive: "default-src 'self' 'unsafe-eval' 'unsafe-inline' data: ladycenter.ru *.ladycenter.ru tovarro.com *.tovarro.com imgg.tovarro.com *.100im.info 100im.info yastatic.net *.yastatic.net *.facetz.net *.igru-film.net vk.com *.vk.com *.serialu.net apis.google.com am15.net *.am15.net rarenok.biz *.teaser-goods.ru liveinternet.ru *.yadro.ru *.marketgid.com *.rmbn.net *.youtube.com youtube.com tv3.ru rutv.ru ivi.ru macromedia.com tvigle.ru 1tv.ru ntv.ru komarovskiy.net mail.ru yandex.st yandex.ru google.com google.ru twitter.com facebook.net *.tv3.ru *.rutv.ru *.ivi.ru *.macromedia.com *.tvigle.ru *.1tv.ru *.ntv.ru *.komarovskiy.net *.mail.ru *.yandex.st *.yandex.ru *.mail.ru *.google.com *.google.ru *.twitter.com *.facebook.net *.facebook.com facebook.com imgsmail.ru *.imgsmail.ru google-analytics.com *.google-analytics.com https: ". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.

VM535:61

onMessageFromBackground: method=statPixel init.js:14

Refused to frame 'http://promokod4utoolbar.net/counter.html' because it violates the following Content Security Policy directive: "default-src 'self' 'unsafe-eval' 'unsafe-inline' data: ladycenter.ru *.ladycenter.ru tovarro.com *.tovarro.com imgg.tovarro.com *.100im.info 100im.info yastatic.net *.yastatic.net *.facetz.net *.igru-film.net vk.com *.vk.com *.serialu.net apis.google.com am15.net *.am15.net rarenok.biz *.teaser-goods.ru liveinternet.ru *.yadro.ru *.marketgid.com *.rmbn.net *.youtube.com youtube.com tv3.ru rutv.ru ivi.ru macromedia.com tvigle.ru 1tv.ru ntv.ru komarovskiy.net mail.ru yandex.st yandex.ru google.com google.ru twitter.com facebook.net *.tv3.ru *.rutv.ru *.ivi.ru *.macromedia.com *.tvigle.ru *.1tv.ru *.ntv.ru *.komarovskiy.net *.mail.ru *.yandex.st *.yandex.ru *.mail.ru *.google.com *.google.ru *.twitter.com *.facebook.net *.facebook.com facebook.com imgsmail.ru *.imgsmail.ru google-analytics.com *.google-analytics.com https: ". Note that 'frame-src' was not explicitly set, so 'default-src' is used as a fallback.

config.php:1

Refused to load the script 'http://rvkaqtpzei.ru/pjs/10736.js?u=0_292014' because it violates the following Content Security Policy directive: "default-src 'self' 'unsafe-eval' 'unsafe-inline' data: ladycenter.ru *.ladycenter.ru tovarro.com *.tovarro.com imgg.tovarro.com *.100im.info 100im.info yastatic.net *.yastatic.net *.facetz.net *.igru-film.net vk.com *.vk.com *.serialu.net apis.google.com am15.net *.am15.net rarenok.biz *.teaser-goods.ru liveinternet.ru *.yadro.ru *.marketgid.com *.rmbn.net *.youtube.com youtube.com tv3.ru rutv.ru ivi.ru macromedia.com tvigle.ru 1tv.ru ntv.ru komarovskiy.net mail.ru yandex.st yandex.ru google.com google.ru twitter.com facebook.net *.tv3.ru *.rutv.ru *.ivi.ru *.macromedia.com *.tvigle.ru *.1tv.ru *.ntv.ru *.komarovskiy.net *.mail.ru *.yandex.st *.yandex.ru *.mail.ru *.google.com *.google.ru *.twitter.com *.facebook.net *.facebook.com facebook.com imgsmail.ru *.imgsmail.ru google-analytics.com *.google-analytics.com https: ". Note that 'script-src' was not explicitly set, so 'default-src' is used as a fallback.

VM608:61

Uncaught TypeError: Cannot set property 'innerHTML' of null 507535.php:1

Resource interpreted as Script but transferred with MIME type text/html: "http://t1.teaser-goods.ru/5455/1412197924730.js?r=".

Нет. (Но это лишь ответ по тем параметрам, что вы привели) Дайте сайт, дайте запрос. Религия не позволяет урлы сайтов показывать на серче? проклятия боитесь что-ли?🤪

у себя решил таким образом:

1. в корень заливаем php файл getbody.php, с таким содержанием

<?php

if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && !empty($_SERVER['HTTP_X_REQUESTED_WITH']) && strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {

	if (isset($_POST['url'])) {

		$url = htmlspecialchars($_POST['url']);

		preg_match_all('|<body.*?>(.*?)<\/body>|si', file_get_contents($url), $out);

		

		die($out[1][0]);

	}

} else {

	header('HTTP/1.0 404 Not Found');

	header('Status: 404 Not Found'); 

	die();

}

?>

2. на сайте перед тегом body вставляем JavaScrip

<script src="http://code.jquery.com/jquery-latest.js"></script>

<script type="text/javascript">

$(function(){

	$.ajax({

		type: 'POST',

		url: '/getbody.php',

		data: 'url=' + window.location,

		success: function(data){

			$('body').html(data);

		}

	});

});

</script>

если jquery на сайте уже подключен, то строки

<script src="http://code.jquery.com/jquery-latest.js"></script>

не нужно

если на сайте jquery в режиме noConflict, то строку

$(function(){

поменять на

jQuery(function($)

этот способ позволит обойтись без CSP, должен работать во всех браузерах (в т.ч. мобильных), на хостинге не требуется модуль mod_headers, а главное не вырезается ваша реклама, пробовал только у себя на сайте, на сайте реклама от гугла, коментарии от cackle, соц. кнопки, яндекс метрика, яндекс share, вроде все работает нормально, проверял в зараженном браузере, если у кого-то есть браузер с этими вредоносными дополнениями можете проверить

Работает просто отлично, я бы так проблему не стал решать

Попробую понять что вы этим хотели сказать.. Скорей всего у вас нет рекламы на сайте, но свободные места забиваются рекламой? тизеров у вас нет, а это значит их и не будет, но всплывающие окна и баннер перед телом (в начале сайта) будут появляться.

Да вам вообще просто добавил в хтч CSP с кодами соц.кнопок (таким какой его писали раньше) и все.

Мне сложнее - на мои сервера приходится оплачивать несколько штук зеленых и работает он только за рекламу, ну и мне еще на жизнь несколько штук.. Посещение не просело, но если реклама просядет, то будет плохо.. хотя уже немного просела с марта-апреля - именно тогда этот говноайстрим включил рекламу

Да, все так, зарабатываю я не рекламой, вы все правильно поняли. Вот и хочу узнать, если у вас подменяется реклама, пробовали ли вы CSP? Я не знаю адресов куда ведет подмена РСЯ и т.п. вот и спрашиваю. Отследить их метрикой или ЛИ можно же.

Что делает данный код?