Вставить домен в Htaccess по copy-paste - Безопасность

A1

12

Alena1980

16 февраля 2015, 12:33

#231

kgtu5:
Alena1980, Поищите в своем - script, REQUEST или GLOBALS - думается с десяток вхождений найдется...

Не поняла, какие вхождения?)

C

233

ctit ctit

16 февраля 2015, 12:45

#232

Кто-нибудь встречался с таким и вредит ли то рекламе? Насколько понял, ajax-запрос с пустыми данными (так делают старые ajax для проверки связи) посылается adsense. Отчеты просто забиты этими сообщениями.

Uncaught SecurityError: Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Sandbox access violation: Blocked a frame at "http://googleads.g.doubleclick.net" from accessing a frame at "null". The frame being accessed is sandboxed and lacks the "allow-same-origin" flag.

427

samimages

16 февраля 2015, 13:02

#233

googleads.g.doubleclick.net - у меня вроде проскакивает раз от раза, но не постоянно.

На рекламе особенно не сказывается, т.е. не могу сказать, что стало меньше кликов... все в пределах нормы, что ли.

1

Опыт как иммунитет — приобретается в муках! Хостинг: экономия до 1300 руб + домен в подарок ( https://clck.ru/XLscf ) / Аудит семантики от 15К [долго] - ЛС

С1

83

Серегей13

17 февраля 2015, 01:05

#234

Подскажите пожалуйста куда нужно вставлять домен, который я хочу разрешить для доступа?

Вот запись которую использую в конфиге:

#Header set Content-Security-Policy-Report-Only

Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.facebook.com https://*.facebook.com *.facebook.net *.tynt.com *.yandex.net https://site.yandex.net https://yastatic.net yastatic.net an.yandex.ru awaps.yandex.ru vk.com https://vk.com mc.yandex.ru clck.yandex.ru yandex.st https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' https://*.googleapis.com www.youtube.com https://www.youtube.com *.gstatic.com; frame-src 'self' *.facebook.com https://*.facebook.com bcp.crwdcntrl.net yastatic.net awaps.yandex.ru vk.com https://vk.com https://login.vk.com yandex.st www.youtube.com https://www.youtube.com *.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com *.google.com mc.yandex.ru www.youtube.com; connect-src 'self' mc.yandex.ru www.google-analytics.com https://www.google-analytics.com;"

</IfModule>

security: missing X-Content-Type-Options Header Screaming Frog обновил SEO Если видишь Бургер Кинг

K

89

Kasperaitus

17 февраля 2015, 14:05

#235

Серегей13, видимо вот так:

#Header set Content-Security-Policy-Report-Only
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.facebook.com https://*.facebook.com *.facebook.net *.tynt.com *.yandex.net https://site.yandex.net https://yastatic.net yastatic.net an.yandex.ru awaps.yandex.ru vk.com https://vk.com mc.yandex.ru clck.yandex.ru yandex.st https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' https://*.googleapis.com www.youtube.com https://www.youtube.com *.gstatic.com; frame-src 'self' *.facebook.com https://*.facebook.com bcp.crwdcntrl.net yastatic.net awaps.yandex.ru vk.com https://vk.com https://login.vk.com yandex.st www.youtube.com https://www.youtube.com *.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com *.google.com mc.yandex.ru www.youtube.com; connect-src 'self' mc.yandex.ru www.google-analytics.com https://www.google-analytics.com;"
</IfModule>

V9

32

vovan905

17 февраля 2015, 16:33

#236

Помогите адаптировать Content-Security-Policy под UCOZ

Какой код нужно прописать и где? Куда вписать сайты, на которые не должны переходить пользователи?? Заранее спасибо!!

займ на карту (http://credit-cards-online.info/250-zaymy-onlayn-na-kartu.html) срочно без отказа

N

159

nikdiv

17 февраля 2015, 21:06

#237

Кто уже поставил, проверьте у себя скачиваются ли файлы?

Пример:

после установок правил перестали скачиваться файлы (ошибка 502). Движок dle. Ошибка есть в IE, опере 12, может и в других. В хроме всё нормально.

Всё работает без этого:

object-src 'self' *.site.ru site.ru *.gstatic.com *.yandex.net yandex.net *.google.com *.mail.ru mail.ru google.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com *.vk.com vk.com https://an.yandex.ru yandex.ru *.yandex.ru;

L

351

Ladycharm

17 февраля 2015, 21:30

#238

Серегей13:
Подскажите пожалуйста куда нужно вставлять домен, который я хочу разрешить для доступа?

Вот запись которую использую в конфиге:

Я переписала вашу CSP в более читабельный вид:


#Header set Content-Security-Policy-Report-Only
<ifModule mod_headers.c>
Header set Content-Security-Policy "\
default-src 'self';\
connect-src 'self' www.google-analytics.com https://www.google-analytics.com mc.yandex.ru;\
frame-src 'self' bcp.crwdcntrl.net *.doubleclick.net https://*.doubleclick.net *.facebook.com https://*.facebook.com *.google.com https://*.google.com *.googlesyndication.com vk.com yandex.st yastatic.net https://vk.com https://login.vk.com awaps.yandex.ru mc.yandex.ru www.youtube.com https://www.youtube.com;\
object-src 'self' https://*.googleapis.com *.gstatic.com www.youtube.com https://www.youtube.com;\
script-src 'self' 'unsafe-eval' 'unsafe-inline' *.doubleclick.net *.facebook.com https://*.facebook.com *.facebook.net www.google-analytics.com https://www.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.googlesyndication.com https://*.googlesyndication.com *.gstatic.com https://*.gstatic.com vk.com yandex.st yastatic.net https://vk.com https://yastatic.net *.tynt.com *.yandex.net https://site.yandex.net an.yandex.ru awaps.yandex.ru clck.yandex.ru mc.yandex.ru;\
"
</IfModule>

Если вставите её в .htaccess по copy-paste, сохранив все " и \ - она будет работать точно так же, но вносить изменения намного удобнее.

Сразу видно, что вашей CSP используются 4 директивы (не считая default-src, которая больше для "своих доменов"):

connect-src - разрешает обращаться к домену методом "connect"

frame-src - разрешает загружать фреймы с src= перечисленным доменам

object-src - разрешает обращаться к указанным доменам из тэга <object>(загружать видео)

script-src - разрешает загружать скрипты с перечисленных доменов

Домен надо добавлять в те директивы, в которых надо открыть доступ для него. Например, если с этого домена вставляются картинки - надо добавить директиву img-src и прописать домен туда. Например:

img-src *.mail.ru *.yandex.net

разрешит загружать картинки со всех поддоменов mail.ru и yandex.net.

Кстати, ваша CSP не позволяет вставлять картинки, кроме как с вашего же сайта - нет директивы img-src, значит будут использоваться правила по-умолчанию из default-src - а там только 'self' разрешён.

vovan905:
Куда вписать сайты, на которые не должны переходить пользователи??

В CSP не "запрещающий" список, а "разрешающий". Доменам, что там перечислены - могут использоваться на сайте в скриптах/фреймах/картинках/стилях, всем остальным - нельзя.

nikdiv:
Кто уже поставил, проверьте у себя скачиваются ли файлы?

Скачиваются, проверила в Opera 10, FF 13, Chrome 39.0 на по ссылках типа <a href='/file.rar'>скачать</a> и открываются в браузере для просмотра по ссылкам <a href='/file.doc'>скачать</a>

nikdiv:
Всё работает без этого:
object-src 'self' *.site.ru site.ru *.gstatic.com *.yandex.net yandex.net *.google.com *.mail.ru mail.ru google.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com *.vk.com vk.com https://an.yandex.ru yandex.ru *.yandex.ru;

Антилич какой-нибудь установлен? Ошибки яваскрипт в консоли браузера есть?

На ссылки CSP не действует, но если скачивание делается на яваскрипте/flash - там могут использоваться методы, попадающие под ограничение в connect-src или object-src.

Если мешает CSP - будут видны её ошибки в консоли браузера.

1

eTarget 2011:Панельная дискуссия «Стратегия eTarget 2011: Круглый стол Могут ли «плохие» входящие

N

159

nikdiv

17 февраля 2015, 21:46

#239

Ladycharm:
Антилич какой-нибудь установлен? Ошибки яваскрипт в консоли браузера есть?
На ссылки CSP не действует, но если скачивание делается на яваскрипте/flash - там могут использоваться методы, попадающие под ограничение в connect-src или object-src

Да, в dle скачивание идёт через файл download.php

Если можно, по-простому скажите, пожалуйста, без object-src ничего страшного? :) Мне важно только adsense и рся.

427

samimages

17 февраля 2015, 23:08

#240

vovan905:
Помогите адаптировать Content-Security-Policy под UCOZ

А там есть доступы к php или .htaccess?

---------- Добавлено 18.02.2015 в 04:10 ----------

nikdiv:
без object-src ничего страшного

Пока вроде бы ничего... но и живем не последний день. ИМХО проблему на берегу надо решать с сайтом.

Как в моем случае Есть смысл чтобы сайт Рост роботности в Метрике

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

Курс биткоина превысил $50 тысяч

Настройка CSP - Content Security Policy