Настройка CSP - Content Security Policy

L
На сайте с 07.12.2007
Offline
351
#91
ctit:
Смотрю просто доход. Когда разница от 30% до 50%, это очевидно. Писали, что именно в этом время в AdSense упала цена за клик, возможно совпадение. Давайте потестю еще месяц.

ctit, что ваши тесты показали?

У меня статистика по 25 сайтам - на всех при включении CSP рост дохода 5-10%, стабильно держится второй месяц. Причём, тенденция - устойчивая: отключаю CSP - доход падает, включаю - снова поднимается.

Что и логично - CSP пресекает подмену и вставку чужой рекламы, значит - показывается моя.

При этом, "зараженных" браузеров по статистике срабатываний CSP - примерно около 10% от общего числа посетителей, корреляция очевидна.

fake_user
На сайте с 24.02.2014
Offline
112
#92

Ladycharm, у вас за пару месяцев экспериментов не скопилось, случаем, дополнительных адресов рекламных сетей для CSP? Поделитесь? Или, если можно, не могли бы большой отчет работы CSP в файле дать для самостоятельного анализа и сопоставления?

Просто, судя по статистике, часть сторонних рекламных сетей откручивающихся в AdSense не "пролазят" через CSP, особенно заметно на той небольшой части трафа, что идет из-за бугра.

C
На сайте с 07.05.2010
Offline
234
#93
Ladycharm:
ctit, что ваши тесты показали?

У меня статистика по 25 сайтам - на всех при включении CSP рост дохода 5-10%, стабильно держится второй месяц. Причём, тенденция - устойчивая: отключаю CSP - доход падает, включаю - снова поднимается.

Что и логично - CSP пресекает подмену и вставку чужой рекламы, значит - показывается моя.
При этом, "зараженных" браузеров по статистике срабатываний CSP - примерно около 10% от общего числа посетителей, корреляция очевидна.

Уже три недели CSP стоит постоянно. Доход не падает. Но и не вырос. Да, если бы и падал, то все равно уже не снесу CSP.

L
На сайте с 07.12.2007
Offline
351
#94
ctit:
Уже три недели CSP стоит постоянно. Доход не падает. Но и не вырос

Если сайты в русскоязычном сегменте - сейчас доход не растёт(даже падает) из-за кризиса.

fake_user:
Ladycharm, у вас за пару месяцев экспериментов не скопилось, случаем, дополнительных адресов рекламных сетей для CSP? Поделитесь?

У меня на сайтах из рекламный сетей - только Адсенс и Директ. Плюс, ролики из Ютуба, карты Яндекса и Google и Яндекс- метрика(Google-аналитика - убрана).

Чтобы все это хозяйство нормально работало, достаточно вот такой политики CSP:


default-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.ВАШСАЙТ.RU ВАШСАЙТ.RU
*.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st
*.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net
https://*.googleapis.com https://*.gstatic.com https://gstatic.com
https://*.googlesyndication.com https://api-maps.yandex.ru;
frame-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU
*.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st
*.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net
youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru
https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com
https://*.googleapis.com https://*.gstatic.com https://gstatic.com
https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;
connect-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU
mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com;
style-src 'self' 'unsafe-inline' 'unsafe-eval' *.ВАШСАЙТ.RU ВАШСАЙТ.RU
*.googleapis.com *.gstatic.com *.yandex.ru
https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
font-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU
*.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com
https://*.gstatic.com https://*.yandex.ru data:;
img-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU *.yandex.net *.yandex.ru yandex.ru yandex.st
*.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com
https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com
https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data:;
object-src 'self' *.gstatic.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;

Из нетипичного:

1. *.ВАШСАЙТ.RU ВАШСАЙТ.RU прописываю явно, тк некоторые браузеры некорректно понимают 'self'

2. https://pipe.skype.com - на сайтах есть статусы скайпа и телефоны, открываем звонки со скайпа с мобильных устройств

3. web.icq.com - та сайтах есть статусы ICQ, чтобы правильно показывал красный/зелёный цветочек.

4. translate.googleapis.com - когда сайт переводят Гугл-транслейтом, не смотря на то, что он попадает под *.googleapis.com(по http://), но иногда делается запрос по https: даже с http-сайта.

5. Яндекс-метрика, которую он недавно тайком поставил на все сайта через свои сервисы погоды и кнопок share - пока закрыта (она идёт на домен http://yastatic.net)

Эта политика CSP выдаётся 2 раза: один раз с заголовком "X-WebKit-CSP", второй с заголовком "Content-Security-Policy".

Тк дотошный эксперимент показал, что заголовок X-WebKit-CSP кое-какие браузеры ещё поддерживают.

fake_user:
Или, если можно, не могли бы большой отчет работы CSP в файле дать для самостоятельного анализа и сопоставления?

Могу, но чуть позже.

fake_user:
Просто, судя по статистике, часть сторонних рекламных сетей откручивающихся в AdSense не "пролазят" через CSP, особенно заметно на той небольшой части трафа, что идет из-за бугра.

Для работы Адсенса достаточно открыть урлы:

*.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net в нужных директивах, url-ы самих рекламодателей(из объявлений) по CSP не режутся в принципе, тк их рисует на странице разрешенный нами ява-скрип от Google.

C
На сайте с 07.05.2010
Offline
234
#95

После установки CSP вместе с отсевом левой рекламы появилась бдругая проблема. Яндекс выкидывает страницы из поиска с формулировкой "Неверный http заголовок". У кого-нибудь было подобное?

Вот мой заголовок на всякий и цсп, может сам что неправильно написал.

HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Thu, 04 Dec 2014 12:36:51 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.2.17
Set-Cookie: 8be73c5a8ab4dd159026e0e99daec209=ac978cf59bf6d788d34fd041b6baf9bc; path=/
"Content-Security-Policy: default-src 'self' data; allow 'self'; img-src *; script-src 'self' unsafe-inline AJAX.googleapis.com am15.net vk.com yandex.st *.am15.net c.100im.info *.yandex.ru *.yastatic.net *.google.com *.googlesyndication.com *.googleapis.com *.twitter.com *.facebook.net *.facebook.com *.youtube.com *.youtube-nocookie.com; frame-src 'none'; object-src 'self' *.doubleclick.net vk.com; inline-src 'self' hash; "
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Cache-Control: no-cache
Pragma: no-cache

У вас почему-то блок Content-Security-Policy в кавычках.

L
На сайте с 07.12.2007
Offline
351
#96

Тем, кто копипастит политику CSP из этого поста - там переносы строк поставлены исключительно для читабельности, там, куда вы её вставляете их быть не должно.

Все должно быть в одну строку, не забывайте, отделять каждый атрибут/директиву ПРОБЕЛом друг от друга.

';' ставится в конце набора правил каждой директивы не удалите их случайно.

Начало CSP из примера выше, как она должна быть на самом деле:

default-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.ВАШСАЙТ.RU ВАШСАЙТ.RU *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru;...
B
На сайте с 27.05.2014
Offline
4
#97

Ребята, подскажите пожалуйста по пунктам, что и куда прописать чтобы настроить защиту через csp для сайта.

Стоит только adsense. Добавляю в .htaccess строку вида

<ifModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' ...
</IfModule>

но переходы на всякое г, типа

musicalert.ru

dm1.jquerys.ru

obnovlenie.eu

...

продолжаются.

Что еще нужно сделать?

L
На сайте с 07.12.2007
Offline
351
#98
Babuta:
Ребята, подскажите пожалуйста по пунктам, что и куда прописать чтобы настроить защиту через csp для сайта.
Стоит только adsense.

Яндекс-Метрика, Google-Аналитика, счётчики, кнопки соцсетей, виждеты погоды - стоят?

Подключаете ли библиотеку jquery с CDN Google (ajax.googleapis.com/ajax/libs/jquery) или с сайта jquery (code.jquery.com/jquery-latest.min.js)?

Babuta:
Добавляю в .htaccess строку вида
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' ...
</IfModule>

но переходы на всякое г, типа
musicalert.ru
dm1.jquerys.ru
obnovlenie.eu
...
продолжаются.

Где вы видите эти переходы? Если в Яндекс-метрике - то это может быть просто рефспам через баг в Метрике.

Оптимизайка
На сайте с 11.03.2012
Offline
396
#99

musicalert это не веб спам, это точно CSP не работает. Babuta, покажите заголовки, которые выдает сайт после внесенных изменений.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
B
На сайте с 27.05.2014
Offline
4
#100

Метрика выдает такие заголовки:

Код статуса HTTP: "200 OK"
Server: nginx
Date: Sun, 07 Dec 2014 16:13:17 GMT
Content-Type: text/html
Content-Length: 26776
Connection: keep-alive
X-Powered-By: PHP/5.3.10-1ubuntu3.13
Set-Cookie: 804dd2c8c2a3f309c320e1cfbf3d2e0d=25hajctses12pdm6a1pnd1moj2; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
ETag: 54bb123e628dfb7036065d8971f20e0f
Cache-Control: no-cache
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip

На сайте установлено:

Яндекс-Метрика, Google-Аналитика, счётчики, кнопки соцсетей, Adsense, видео с Youtube

Сегодня переделал настройку csp в .htaccess, взяв за основу сообщение Ladycharm, пост #95 данной темы.

Переходы не прекратились, но их стало меньше. Сами переходы смотрю через статистику от Live Internet, "переходы на сайты".

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий