- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Я и не говорю, что на все 50-100 я бы показал один раз как и всё.
Уже просто сталкивался, когда люди не хотят заморачиваться и ставят например frame-src *;, а потом удивляются, а чего это у нас не пропали левые переходы.
Вот это нужны для сайта разрешать, где только Аденс или нет:
Цитата:
*.akamaihd.net
*.amazonaws.com
*.ytimg.com
по этим доменам аналогичны
---------- Добавлено 06.09.2015 в 13:11 ----------
аналогичный вопрос по этим доменам
---------- Добавлено 06.09.2015 в 13:59 ----------
народ, а что за домен _bcp.crwdcntrl.net ?
у меня он постоянно в блоках почти на всех сайтах.
у кого то ещё есть такое?
Цитата:
*.akamaihd.net
*.amazonaws.com
*.ytimg.com
Ничего этого не нужно.
Такое ощущение как закешировалось или хз как назвать, старое правило
Да, Google-bot (и некоторые провайдеры) зачем-то кэшируют заголовки CSP. После снятия CSP отчёты о блокировках будут сыпаться ещё неделю.
Вот это нужны для сайта разрешать, где только Аденс или нет:
*.akamaihd.net
*.amazonaws.com
*.ytimg.com
http://*.whisla.com
ytimg.com - открой, это Ютубовский CDN.
Остальное - не нужно:
akamaihd.net и amazonaws.com - это публичные CDN, Адсенс их не использует.
whisla.com - зайди на сайт и сразу поймёшь, что открывать их не надо.
10.20.2.42:15871 - это вообще без комментариев, ибо невалидка :)
---------- Добавлено 06.09.2015 в 12:45 ----------
Ladycharm, не подскажите по поводу этого:
"violated-directive":"inline script base restriction"
и
"blocked-uri":"asset"
и
"blocked-uri":"self"
"script-sample":"onclick attribute on DIV element"
Хотя 'unsafe-inline' и 'unsafe-eval' прописаны.
Помогите, пожалуйста, понять почему.
Опс, на этом уже баки зарабатывают :)
Универсальной CSP не бывает, она индивидуальна. Лишь некоторые части директив могут совпадать.
Универсальной CSP не бывает, она индивидуальна. Лишь некоторые части директив могут совпадать.
Конечно не бывает. Есть лишь примеры настройки и что за что отвечает. А так конечно нужно смотреть сам сайт и под него всё делать, чтобы всё работало и ничего лишнего не попало.
http://yastatic.net это имеет отношение к яндексу или это левое что-то?
На сайте все картинки, стили и скрипты размещены у себя, из сторонних только счётчик статистики liveinternet и плееры youtube и mail.ru. Заголовок CSP добавляется.
CSP такой
"default-src 'self' *.site.ru http://www.site.ru;
style-src 'unsafe-inline' *;
frame-src 'self' https://videoapi.my.mail.ru https://www.youtube.com http://www.youtube.com;
img-src * data:;
media-src *;
font-src *;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.site.ru http://www.site.ru http://www.liveinternet.ru/click http://www.liveinternet.ru http://counter.yadro.ru;
report-uri /csp.php"
Подскажите пожалуйста, тут всё нормально? или нужно добавить для лучшей защиты?
Вот, готовый CSP для большинства сайтов
Google (Youtube Api Adsense Analytics) Yandex Mail.ru Twitter FB VK OK.ru HIT.ua
Счетчик li.ru не ставил, думаю сами сможете
Вставлять в основной файл php сайта или движка
$csp_my = "connect-src 'self' http://*.googlevideo.com https://*.googlevideo.com *.googlevideo.com https://*.youtube.com http://*.youtube.com *.youtube.com youtube.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.yandex.ru https://*.yandex.ru *.yandex.ru;";
$csp_my .= "font-src 'self' http://*.gstatic.com https://*.gstatic.com *.gstatic.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com;";
$csp_my .= "frame-ancestors 'self';";
$csp_my .= "frame-src 'self' http://*.doubleclick.net https://*.doubleclick.net *.doubleclick.net http://*.google.com https://*.google.com *.google.com https://*.googleadservices.com http://*.googleadservices.com *.googleadservices.com;";
$csp_my .= "img-src 'self' data: https://*.google.com http://*.google.com *.google.com http://*.google-analytics.com https://*.google-analytics.com *.google-analytics.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com https://*.googlesyndication.com http://*.googlesyndication.com *.googlesyndication.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.doubleclick.net https://*.doubleclick.net *.doubleclick.net http://*.yandex.ru https://*.yandex.ru *.yandex.ru http://*.yadro.ru https://*.yadro.ru *.yandex.ru http://c.hit.ua ;";
$csp_my .= "media-src 'self' ;";
$csp_my .= "object-src 'self' https://*.ytimg.com http://*.ytimg.com *.ytimg.com ytimg.com https://*.youtube.com http://*.youtube.com *.youtube.com youtube.com http://*.googlevideo.com https://*.googlevideo.com *.googlevideo.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com;";
$csp_my .= "script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.google.com https://*.google.com *.google.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com https://*.googlesyndication.com http://*.googlesyndication.com *.googlesyndication.com http://*.ok.ru https://*.ok.ru *.ok.ru http://*.google-analytics.com https://*.google-analytics.com *.google-analytics.com http://*.yandex.ru https://*.yandex.ru *.yandex.ru http://*.mail.ru https://*.mail.ru *.mail.ru https://*.twitter.com http://*.twitter.com *.twitter.com https://*.facebook.com http://*.facebook.com *.facebook.com https://vk.com http://vk.com vk.com https://*.vk.com http://*.vk.com *.vk.com ;";
$csp_my .= "style-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com;";
$csp_my .= "default-src 'self' http://{$_SERVER['SERVER_NAME']} {$_SERVER['SERVER_NAME']}.com;";
// уберем все переносы если кто то сунул
$csp_my = str_replace("\r\n",'', $csp_my);
$csp_my = str_replace("\n",'', $csp_my);
// сформируем заголовок
header("Content-Security-Policy: " . $csp_my . $uri_report);
// Google (Youtube Api Adsense Analytics) Yandex Mail.ru Twitter FB VK OK.ru HIT.ua
Ilekor, бред. Например гугл аналитик и метрика не нужна на сайтах, где её нет. А вот модуля могут её подгружать туда где она не нужна.
Это что за бред, ещё и .com?!
Зачем дублировать так?
---------- Добавлено 06.09.2015 в 22:13 ----------
Так же как он может подойти всем если у большинства стоят партнёрки всякие.