- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
pipe.skype.com - видел у Ladycharm. Для чего он нужен?
Когда у вас на сайте есть номера телефонов или скайпов, то посетитель с установленным приложением skype может по ним позвонить в один клик. Но для такой возможности приложение Скайпа должно вставить на страницу свой скрипт и сделать телефон - ссылкой.
Такие вещи лучше не запрещать, как и translate.google.com и прочие переводчики.
по поводу imrk.net.
К посту Оптимизайка даже добавить нечего. imrk.net НУЖНО блокировать, не открывайте его в CSP!
и дальше код идет.
data:text/javascript используется для тайной(поскольку они закодированы в base64) вставки инлайн-скриптов. Нормальные рекламные сети так не делают - им нечего скрывать, плюс, кодирование в base64 увеличивает размер скрипта в 1.5 раза.
Поэтому, на заблокированные data:text/javascript не обращайте внимания - так и должно быть.
VPN спасёт этот мир.
P.S. Из хороших новостей по этой теме: «Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи» http://www.opennet.ru/opennews/art.shtml?num=41655
CSP - спасёт Мир. VPN против вредоносных плагинов - бессильна, тк в браузер передаётся уже расшифрованный трафик.
VPN (и https) бьёт по рукам провайдерам, которые вмешиваются в клиентский трафик, шпионят и суют туда свою рекламу.
Посетители, со своей стороны, защищаются через VPN. Вебмастера, со своей стороны защищают посетителей (и свои доходы - тоже) с помощью CSP и https
Из плохих новостей - приложения в Google Chome имеют доступ с заголовкам CSP и могут добавлять в них нужные правила "под себя". Уже отловлено около десятка таких "умников" (включая антивирусы).
Google Chome - не считает это дырой в безопасности и не собирается закрывать эту "фичу".
Ladycharm, а что вы скажете по поводу googleadservices.com?
Не увидел его в вашем примере.
Ladycharm, а что вы скажете по поводу googleadservices.com?
Не увидел его в вашем примере.
Для Адсенса в директиву frame-src надо добавлять *.googleadservices.com https://*.googleadservices.com
Это - домены Google (см `nslookup -type=all googleadservices.com`) с "говорящим за себя" названием.
В режиме Content-Security-Policy-Report-Only - вы сразу увидите блокировку в frame-src, если забудете их прописать на сайте с Адсенсом.
Подскажите пожалуйста, что это за зверь?
Нагуглил, что нужно для асинхронной загрузки. Записывать его в правила?
Подскажите пожалуйста, что это за зверь?
Нагуглил, что нужно для асинхронной загрузки. Записывать его в правила?
*.googlecode.com - это домен, на котором каждый может размещать свой пользовательский контент. Открывать его - опасно.
PS: Адсенс не использует скрипты с *.googlecode.com, Директ - тем более.
Интересная тема, много интересного для себя нашел
Господа, что это за код:
Сообщение о нем нахожу на странице PageSpeed Insights. Проверка от google скорость загрузки сайта. Просит включить кеширование на 7 дней и выше.
Ladycharm, прошу прощения, а у вас есть свой вариант кода для корректной работы adsense, счетчиков статистики?
Просто все что пробовал рубит работу счетчика mail.ru, Li и Метрика работают корректно. Заранее спасибо!
Ladycharm, прошу прощения, а у вас есть свой вариант кода для корректной работы adsense, счетчиков статистики?
Просто все что пробовал рубит работу счетчика mail.ru, Li и Метрика работают корректно. Заранее спасибо!
Для той рекламы и счётчиков, что уже приходилось настраивать - есть.
Делаете на сайте пустую страницу test.html с вашим счётчиком и заходите на неё браузером. Если вы отдаёте CSP через .htaccess - все нужные заголовки будут автоматически выданы и для страницы test.html.
Смотрите, какие домены заблокировались и в какой директиве по отчётам CSP, или в крайнем случае - в консоли браузера. Добавляете эти домены в нужные директивы в htaccess.
PS: У меня для рейтинга mail.ru получилось, что нужно открыть:
script-src 'unsafe-inline' top-fwz1.mail.ru https://top-fwz1.mail.ru;
style-src 'unsafe-inline';
эти домены/атрибуты надо добавить к соотвествующим директивам вашей CSP
Здравствуйте!
А кто пробовал такое в htaccess:
Данный код позволяет защитить сайт от scripts enjection и нежелательных модификаций _REQUEST и/или GLOBALS:
#Включаем отслеживание сим-ссылок
Options +FollowSymLinks
#Запускаем url_rewriting
RewriteEngine On
#Блокируем все ссылки, содержащие <script>
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
#Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
#Блокируем все скрипты, которые пытаются изменить переменную _REQUEST:
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
#Перенаправляем все подобные на страницу с ошибкой 403 — запрещено
RewriteRule ^(.*)$ index.php [F,L]
Alena1980, такими ограничениями можно половину функционала движка "убить". Поищите в своем - script, REQUEST или GLOBALS - думается с десяток вхождений найдется...