Настройка CSP - Content Security Policy

Это стандартные виджеты фэйсбука, твиттера и гугль плюс.

По моим тестам для этого виджета фэйсбука, фрейм может загружаться и с facebook.net, и с facebook.com. Только я тестировала скрипт version=v2.0.

PS: В личке - мой вариант CSP для вашего набора сервисов (он отличается от вашего лишь несколькими ньюансами, выловленными на практике).

При установке CSP - сначала прописываете Content-Security-Policy-Report-Only, полазите по сайту и убедитесь, что нет блокировок CSP по консоли браузера. Неплохо при этом быть залогиненым в twitter/facebook/G+ и понажимать на кнопки соцсетей - тогда начинают вызываться другие "неочевидные" скрипты/картинки/фреймы.

Потом переведёте в боевой режим - уберёте хвостик -Report-Only.

Решил, что наверное о наблюдении лучше здесь написать:

При заходе на сайты с Adsense с телефона жены (Nexus 5, последний андроид), объявления подменяются... другими объявлениями Adsense (это можно заметить визуально - сначала загужается одно, потом - другое тех же размеров сверху).

Повторить то же самое на моем Nexus 5 или через эмуляцию в Chrome на ПК, в том числе при использовании её телефона в качестве точки доступа, не выходит.

При всем при этом, на телефоне, где это наблюдается, отсутствует root, какие-либо приложения не из Play маркета, отключены функции разработчика. Единственное отличие наших двух нексусов, помимо цвета - тыща приложений и игр у жены.

Итого: 1) CSP для данного варианта не работает, так как отображается разрешенный Adsense. 2) Каким-то неведомым мне образом в Chrome для Android возможно выполнение стороннего кода.

Здраствуйте! нужна помощь с CSP. Установил себе на сайт в .htaccess:

<ifModule mod_headers.c>

Header set Content-Security-Policy "\

default-src 'self' мой_сайт *.мой_сайт;\

script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-

counter.ru counter.yadro.ru www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st mc.yandex.ru an.yandex.ru;\

object-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru video.yandex.ru https://video.yandex.ru https://www.tns-counter.ru

counter.yadro.ru www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st an.yandex.ru;\

style-src 'self' 'unsafe-inline' мой_сайт *.мой_сайт www.liveinternet.ru;\

img-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru www.liveinternet.ru mc.yandex.ru yandex.st;\

media-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru an.yandex.ru yandex.st;\

frame-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru an.yandex.ru yandex.st;\

font-src 'self' мой_сайт *.мой_сайт www.liveinternet.ru;\

connect-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st mc.yandex.ru an.yandex.ru;"

</IfModule>

Проверял, она работает, например если удалить из белого списка counter.yadro.ru, счетчик от LI не загрузится, то есть по идеи никаких левых переходов при такой политике не должно быть, а они есть!!! Не подскажите по какой причине политика может не срабатывать и не блокировать левые переходы???

Переходы Смотрю в статистике ЛИ:

quick-searcher.net 35

quick-searcher-v3.com 272

pozitivrekl.ru 5

quick-searcher-sngs.com 2

quick-searcher-v2.biz 2

и яндекс метрике:

http://78.47.6.114/api/getLink/

http://78.47.6.114/api/getLink/?cb=0.3542400375008583

При проверки ответа сервера высвечивается Content-Security-Policy, то есть работает.

дабы не плодить темы, попробую получить ответ или наводку здесь.

Наблюдаю непонятные переходы в liveinternet на сайт windows-ustanovka.biz

От 20 до 200 переходов в день!

Мой сайт - компьютерной тематики.

Нигде в коде сайта нет такого домена. После установки CSP переходы на левые сайты почти прекратились, кроме этого.

Пробовал установить скрипт на сайт для отслеживания переходов на конкретный урл - ничего не зафиксировало.

Как можно отследить откуда эти переходы? Могут ли это быть переходы с контекстной рекламы, в смысле, ливинтернет их отображает?

Люди добрые, сорри, что несколько не по теме. Можете пояснить, что такое quick-searcher-v3.com и quick-searcher.net? Никогда с ними не сталкивался, а в статистике ЛИ тоже увидел.

Добавил в SCP строку - report-uri http://мойсатй.net/1.txt;\ но никакой отчет не формируется. в чем ошибка??

Вполне может быть, что это пользователи со взломанными старыми роутерами, через которые идет подмена страниц, либо с устаревшими браузерами не поддерживающими CSP.

Должен быть исполняемый скрипт *.php, который принимал бы POST-запросы.

При входе на сайт выдаёт ошибку:

Файл .htaccess выглядит таким образом:

Ошибка "Internal Server Error" - это некорректный синтаксис файла .htaccess

1. Поставте \ в конце каждой строки тела заголовка - это на языке .htaccess означает перенос строки на следующую.

2. Настройки некоторых хостингов не поддерживают синтаксис переноса строки по \ - для них приходится вытягивать всё содержимое (то, что между <IfModule>... </IfModule>) в одну строку.