Настройка CSP - Content Security Policy

L
На сайте с 07.12.2007
Offline
351
#621
LEOnidUKG:
Кому нужна помощь в установке и т.п. Тема для вас: /ru/forum/908708

Если то, что написано тут это CSP, то я - королева Великобритании.

Вы бы этот топик почитали сначала.

Ида, скрипт из архива - не фиксирует примерно четвёртую часть отчётов, по нему грамотно CSP не настроишь.

Рaxim:
Заказывал Установка защиты Content Security Policy (CSP) для своего ресурса. Тс LEOnidUKG работу выполнил добротно и качественно, народ не надо заниматься самодеятельностью, обратитесь к LEOnidUKG он вам всё настроит быстро. рекомендую его!

Когда пишете заказные комментарии - будьте внимательнее. В этом топике ТС - это ctit

LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#622

Вижу уже зависть задавала.

Ида, скрипт из архива - не фиксирует четвёртую часть отчётов, по нему грамотно CSP не настроишь.

Ну только королева наша настраивает по этим отчётам CSP, другие пользуются более продвинутыми методами. Инструкция для ознакомления, если что, о наша великая королева :D

И я своим клиентам даю другой csp.php и он даже переводит на русский язык проблему.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
E2
На сайте с 15.12.2006
Offline
128
#623

Ladycharm, дайте ссылку "Ваш CSP", чтобы окончательно поставить на место "недоCSP от LEOnidUKG". А то я по его инструкции сделал, и глупо себя ощущаю, что мой цсп теперь какой-то не такой )

Рaxim, Ваш пост выглядит как безобразно заказной, это да.

Ап! И тигры у ног моих сели.
Redbaron _chaos
На сайте с 12.08.2009
Offline
668
#624

Не могу понять, что это:

Что черным выделил, не пойму...это он их заблокировал полчучается? Таких урлов в Хтачессе нет, не разрешены.

Но тогда как вижу там метрика и гугл аналитика заблочены?

Хотя разрешена в Хтачесе.

На сайте только Аденс, другой рекламы нет.

csp-report:
----------------------------------------
":"document-uri":"http://мойсайт,ру/длиныйурл.html"
"referrer":""
"violated-directive":"script-src 'self' 'unsafe-inline' 'unsafe-eval' http:///мойсайт,ру https://mc.yandex.ru http://mc.yandex.ru http://vkontakte.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net"

"blocked-uri":"http:///мойсайт,ру"


Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
66.249.78.43
----------------------------------------

.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )
L
На сайте с 07.12.2007
Offline
351
#625
Redbaron_chaos:
Что черным выделил, не пойму...это он их заблокировал полчучается?

На странице http://мойсайт,ру/длиныйурл.html заблокирована загрузка яваскрипта с url http:///мойсайт.ру, похоже из-за трёх ///

Посмотрите в html-коде этой страницы (http://мойсайт,ру/длиныйурл.html) с какого url загружается скрипт. Хотя, это был Google-bot, он CSP поддерживает не полностью.

А в violated-directive присылается сработавшая директива CSP(в вашем случае это script-src) и набор правил для неё (копия из вашей CSP).

PS: Под Адсенс ранее в этом топике выкладывалась "правильная CSP".

error2k:
Ladycharm, дайте ссылку "Ваш CSP", чтобы окончательно поставить на место "недоCSP от LEOnidUKG". А то я по его инструкции сделал, и глупо себя ощущаю, что мой цсп теперь какой-то не такой )

"Наш CSP" сильно зависит от:

А) сервисов, использующихся на сайте (реклама, счётчики/метрики, видео, кнопки соцсетей и тп)

B) движка сайта

С) соотношения количества мобильных/десктопных посетителей.

Поэтому делается индивидуально под каждый сайт.

Выкладывайте в топик свою CSP(только замените url сайта на site.ru) и перечислите что на сайте по пункту А).

Вам сразу скажут "такой" у вас цсп или "не такой". Только есть ощущение, что вы CSP не настраивали, поэтому показать вам нечего.

---------- Добавлено 06.09.2015 в 02:43 ----------

LEOnidUKG:
И я своим клиентам даю другой csp.php и он даже переводит на русский язык проблему.
Вот на этот русский переводит?
A
На сайте с 04.11.2009
Offline
105
#626

Ladycharm, не подскажите по поводу этого:

avantus:
Всё так же проблема в том что в отчетах присутствуют записи типа:

"blocked-uri":"self"
"violated-directive":"inline script base restriction"
и
"blocked-uri":"asset"
и
"blocked-uri":"self"
"script-sample":"onclick attribute on DIV element"

Хотя 'unsafe-inline' и 'unsafe-eval' прописаны.
Помогите, пожалуйста, понять почему.
LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#627

Redbaron_chaos В смысле

http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com

Этого нет в правилах CSP, а светится в отчётах?

avantus, я конечно не королева бензоколонки Ladycharm, но скажу, что это возможно старая версия, например, FireFox, там были такие баги ещё в 2013 году: https://bugzilla.mozilla.org/show_bug.cgi?id=607067

Но лучше покажите полностью всё правило, возможно что-то в синтаксисе не так.

Redbaron _chaos
На сайте с 12.08.2009
Offline
668
#628
Ladycharm:
На странице http://мойсайт,ру/длиныйурл.html заблокирована загрузка яваскрипта с url http:///мойсайт.ру, похоже из-за трёх ///
Посмотрите в html-коде этой страницы (http://мойсайт,ру/длиныйурл.html) с какого url загружается скрипт. Хотя, это был Google-bot, он CSP поддерживает не полностью.

Это моя ошибка, когда копировал и УРЛ менял, то поставил лишнюю "/". А так все норм.


А в violated-directive присылается сработавшая директива CSP(в вашем случае это script-src) и набор правил для неё (копия из вашей CSP).

Сейчас еще раз посмотрел, нет там этих *.akamaihd.net *.amazonaws.com *.ytimg.com и т.д.


PS: Под Адсенс ранее в этом топике выкладывалась "правильная CSP".

В данный момент стоит такой вариант

---------- Добавлено 06.09.2015 в 10:48 ----------

LEOnidUKG:
Redbaron_chaos В смысле



Этого нет в правилах CSP, а светится в отчётах?

Да, в правилах этого нет, сейчас еще раз все просмотрел. В отчетах светится.

НО, в самый первый раз я поставил вот такой вариант, когда еще не разобрался что к чему: /ru/forum/871141

Там они есть.

Но с ночи стоит уже совсем другой, в этом посте выше ссылку кинул.

Но все равно, вот к примеру отчет за 9 утра:


csp-report:
----------------------------------------
":"document-uri":"http://мойсайт.ru/длинныйурл.html"
"referrer":""
"violated-directive":"script-src 'self' 'unsafe-inline' 'unsafe-eval' http://мойсайт.ru https://mc.yandex.ru http://mc.yandex.ru http://vkontakte.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net"
"blocked-uri":"http://мойсайт.ru"
LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#629

Redbaron_chaos, пишите мне в аську 220923756 или на скайп leonidukg посмотрю и настрою за спасибо :)

Redbaron _chaos
На сайте с 12.08.2009
Offline
668
#630
LEOnidUKG:
Redbaron_chaos, пишите мне в аську 220923756 или на скайп leonidukg посмотрю и настрою за спасибо :)

Спасибо за предложение, но откажусь, по одной причине:

У меня сайтов под 50 штук и все время новые прибавляются. При этом, на чем их только нет...от просто на .html и древних движках, до новых.

Поэтому нужно самому разобраться и понять. Иначе толку не будет.

Сейчас на свежую голову перечитал инфу, плюс через ФаирБаг смотрю и вроде все становится понятно. Кстати он эти "левые урлы": "*.akamaihd.net *.amazonaws.com *.ytimg.com" не показывает. Такое ощущение как закешировалось или хз как назвать, старое правило, вижу тут у человека была такая проблема. Так как на другом сайте, точное такие же правила стоят (где старые не ставил), там все норм.

Ну уже все стало более, менее понятно...увидел что нужное блокирует и куда что добавлять понял.

Не так все страшно и запутано оказалось.

---------- Добавлено 06.09.2015 в 12:07 ----------

На данный момент у меня такой вопрос, так как поиск в гугле и мнения на первой странице разделились:

Вот это нужны для сайта разрешать, где только Аденс или нет:

http://10.20.2.42:15871
*.akamaihd.net
*.amazonaws.com
*.ytimg.com
http://*.whisla.com

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий