Настройка CSP - Content Security Policy

"original-uri" посылает какой-то недобраузер, он даже свой ЮзерАгент не ставит. Просто игнорируйте такие отчёты.

У меня по статистике CSP таких всего 9 на 3900 нормальных.

CSP надо выкладывать в читабельном виде, иначе в нём ничего не видно:

default-src 'self' *.мой сайт;

script-src 'self' 'unsafe-inline' 'unsafe-eval'
   *.мой сайт *.4zw.pw advapi.ru *.actionpay.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com
   http://code.jquery.com *.ytimg.com http://*.whisla.com http://*.republer.com *.appsaddons.com http://*.revsci.net
   https://*.revsci.net http://www.promo.r-money.ru https://dl.dropboxusercontent.com https://merchant.roboxchange.com
   http://www.wolframalpha.com http://wolframalpha.com http://userapi.com *.webmoney.ru
   *.yandex.ru *.yandex.net https://*.yandex.net https://*.yandex.ru https://yastatic.net
   http://*.siteheart.com https://*.siteheart.com *.adriver.ru
   https://*.googleapis.com https://*.google.com http://*.google.com.ua *.google.com *.gstatic.com
   https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com
   https://*.googlesyndication.com *.googleapis.com *.doubleclick.net
   http://w.uptolike.com *.kavanga.ru http://recreativ.ru http://vk.com https://vk.com http://kavanga.sibnet.ru;

object-src 'self' http://*.ytimg.com r-money.ru *.macromedia.com *.adobe.com https://*.adobe.com
   *.adriver.ru https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com
   http://alpari.ru http://www.alpari.ru *.kavanga.ru kavanga.sibnet.ru;

style-src 'self' 'unsafe-inline' *.мой сайт *.amazonaws.com *.googleapis.com https://* http://*.siteheart.com
   http://recreativ.ru http://netdna.bootstrapcdn.com;

img-src * *.whisla.com *.revsci.net data: *.мой сайт *;

media-src 'self' * mediastream: *;

frame-src 'self' 'unsafe-eval' http://*.мой сайт.ru https://video.yandex.ru https://c.mscimg.com
  *.qservz.com *.4zw.pw *.intencysrv.com *.etgdta.com blocking.stat *.yahoo.com *.hubrus.com
  https://money.yandex.ru https://yandex.ru *.siteheart.com https://*.siteheart.com
  *.webmoney.ru *.yandex.ru *.yandex.net http://wolframalpha.com http://www.wolframalpha.com
  http://vk.com https://vk.com https://*.vk.com http://www.youtube.com https://www.youtube.com
  *.adriver.ru http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net
  http://w.uptolike.com https://*.google.com http://*.google.com *.facebook.com *.datamind.ru
  http://www.google.com.ua *.rutarget.ru *.kavanga.ru *.revsci.net *.republer.com;

font-src 'self' *.мой сайт.ru *;

connect-src 'self' https://static.siteheart.com ws://client.siteheart.com
  http://w.uptolike.com https://www.youtube.com http://www.alpari.ru https://translate.googleapis.com
  http://mc.yandex.ru *.googlevideo.com https://*.gstatic.com;

report-uri http://www.мой сайт.ru/csp.php"

Можете сказать, зачем вы открыли всякую чешую типа https://c.mscimg.com, *.qservz.com и *.4zw.pw ?

А *.webmoney.ru ? Они, что вставляют свои скрипты на вашу страницу без вашего ведома?

Если без них ругаются скрипты Adsense, то лучше их оставить.

??? у меня без этой строки не работает webmoney.

Где это в отчетах видели ЮзерАгент??? Это как настроить?

Разве яндекс не любит вставлять iframe со своей метрикой, тем кто пользуется его кнопочками share, так невзначай?

Уже выяснили от самой команды Яндекс, что это не их домен, а вирусняк.

А что этот вирусняк делает?

whois yandex.sc пробовали, чтобы глупые вопросы не задавать?

После этого поста уже ничего не делает.

Редирект на Яндекс - снят, вредоносные ифреймы с url yandex.sc/v4/ci.iframe.html - больше не загружаются.

А ещё пару недель назад - вставлял рекламу на страницы и сливал трафик через luxup.ru(походу на medianet.adlabs.ru) и другие партнёрки через CrazyTDS nsdnspro.com

---------- Добавлено 06.11.2014 в 17:18 ----------

А то, что домен, загружающий malware назван googleads.g.4zw.pw - сами подумайте зачем, и не ведитесь больше.

Разве что только у вас на сайте принимается оплата WM. Или лазите по сайту браузером с плагином WM Advisor.

"За WM" - ничо не скажу, я с ними не работаю в принципе, и они не разрешены в CSP.

Настраивать ничего не надо, это обязательное поле по RFC(ссылку давала выше), его шлют все браузеры и роботы, которые оснащены браузерами. Наврала, ЮзерАгент должен быть в $_SERVER['HTTP_USER_AGENT'], в самих отчётах CSP его нет.

Разрешаю url, только в случае, если у них в качестве original-url выступают сами скрипты AdSense. Но сама идея проверить, что за браузер его генерирует, мне понравилась.

Поскольку сейчас мало трафика, позволил себе установить скриншоты браузера пользователей. Картина удручающая. Примерно 10%, если не больше, ставит AdBlock и другие блокираторы, кто-то загружает плагины, подменяющие рекламу, у третьих - просто вирусы.

А вот эти ребята пошли дальше. Меняют оборудование WiFi, с трансляцией своей рекламы.

ru.wiflyad.net

Короче, рекламодатель в скором времени подумает, зачем ему вообще РСЯ и AdSense.

original-url присылают 0.2% браузеров, и что имеют ввиду - ХБЗ, тк стандартом CSP 1.0 это поде не предусмотрено. Поэтому забей на original-url.

"сами скрипты AdSense"(вместе с картами Google) - это:

*.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net по http и https в секциях:

script-src

frame-src

и *.googleapis.com *.gstatic.com по http и https (+ data://* для всех) в секциях:

style-src

font-src

Если хочешь, чтобы страницу можно было перевести переводчиком Googe - нужно translate.googleapis.com по http и https в секции:

connect-src 'self'

Всё, больше для работы Адсенса ничего не требуется.

Классная идея проверки эффективности CSP, лови плюшку.

Надо поковырять что-нибудь типа скрипта html2canvas.

У этих ребят могут только вставлять свои скрипты в контент сайта. CSP это успешно режет.

Да, именно.

Спасибо источнику.

saveCPic.php