Настройка CSP - Content Security Policy

LEOnidUKG
На сайте с 25.11.2006
Offline
1753
#631
Спасибо за предложение, но откажусь, по одной причине:

Я и не говорю, что на все 50-100 я бы показал один раз как и всё.

Уже просто сталкивался, когда люди не хотят заморачиваться и ставят например frame-src *;, а потом удивляются, а чего это у нас не пропали левые переходы.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
ES
На сайте с 04.09.2015
Offline
3
#632
Redbaron_chaos:
Вот это нужны для сайта разрешать, где только Аденс или нет:

Цитата:
*.akamaihd.net
*.amazonaws.com
*.ytimg.com

по этим доменам аналогичны

---------- Добавлено 06.09.2015 в 13:11 ----------

аналогичный вопрос по этим доменам

---------- Добавлено 06.09.2015 в 13:59 ----------

народ, а что за домен _bcp.crwdcntrl.net ?

у меня он постоянно в блоках почти на всех сайтах.

у кого то ещё есть такое?

LEOnidUKG
На сайте с 25.11.2006
Offline
1753
#633
Вот это нужны для сайта разрешать, где только Аденс или нет:

Цитата:
*.akamaihd.net
*.amazonaws.com
*.ytimg.com

Ничего этого не нужно.

L
На сайте с 07.12.2007
Offline
351
#634
Redbaron_chaos:
Такое ощущение как закешировалось или хз как назвать, старое правило

Да, Google-bot (и некоторые провайдеры) зачем-то кэшируют заголовки CSP. После снятия CSP отчёты о блокировках будут сыпаться ещё неделю.

Redbaron_chaos:
Вот это нужны для сайта разрешать, где только Аденс или нет:
http://10.20.2.42:15871
*.akamaihd.net
*.amazonaws.com
*.ytimg.com
http://*.whisla.com

ytimg.com - открой, это Ютубовский CDN.

Остальное - не нужно:

akamaihd.net и amazonaws.com - это публичные CDN, Адсенс их не использует.

whisla.com - зайди на сайт и сразу поймёшь, что открывать их не надо.

10.20.2.42:15871 - это вообще без комментариев, ибо невалидка :)

---------- Добавлено 06.09.2015 в 12:45 ----------

avantus:
Ladycharm, не подскажите по поводу этого:
"blocked-uri":"self"
"violated-directive":"inline script base restriction"
и
"blocked-uri":"asset"
и
"blocked-uri":"self"
"script-sample":"onclick attribute on DIV element"

Хотя 'unsafe-inline' и 'unsafe-eval' прописаны.
Помогите, пожалуйста, понять почему.
Покажите вашу CSP, можно в личку. Похоже, у вас в ней синтаксическая ошибка и блокируются инлайн-скрипты.
Ilekor
На сайте с 22.04.2009
Offline
138
#635

Опс, на этом уже баки зарабатывают :)

Универсальной CSP не бывает, она индивидуальна. Лишь некоторые части директив могут совпадать.

Лучший дорген 21 века AgDor(http://agdor.info)
LEOnidUKG
На сайте с 25.11.2006
Offline
1753
#636
Ilekor:
Универсальной CSP не бывает, она индивидуальна. Лишь некоторые части директив могут совпадать.

Конечно не бывает. Есть лишь примеры настройки и что за что отвечает. А так конечно нужно смотреть сам сайт и под него всё делать, чтобы всё работало и ничего лишнего не попало.

ES
На сайте с 04.09.2015
Offline
3
#637

http://yastatic.net это имеет отношение к яндексу или это левое что-то?

M
На сайте с 03.02.2010
Offline
146
#638

На сайте все картинки, стили и скрипты размещены у себя, из сторонних только счётчик статистики liveinternet и плееры youtube и mail.ru. Заголовок CSP добавляется.

CSP такой



"default-src 'self' *.site.ru http://www.site.ru;

style-src 'unsafe-inline' *;

frame-src 'self' https://videoapi.my.mail.ru https://www.youtube.com http://www.youtube.com;
img-src * data:;

media-src *;

font-src *;

script-src 'self' 'unsafe-inline' 'unsafe-eval' *.site.ru http://www.site.ru http://www.liveinternet.ru/click http://www.liveinternet.ru http://counter.yadro.ru;

report-uri /csp.php"

Подскажите пожалуйста, тут всё нормально? или нужно добавить для лучшей защиты?

Ilekor
На сайте с 22.04.2009
Offline
138
#639

Вот, готовый CSP для большинства сайтов

Google (Youtube Api Adsense Analytics) Yandex Mail.ru Twitter FB VK OK.ru HIT.ua

Счетчик li.ru не ставил, думаю сами сможете

Вставлять в основной файл php сайта или движка


$csp_my = "connect-src 'self' http://*.googlevideo.com https://*.googlevideo.com *.googlevideo.com https://*.youtube.com http://*.youtube.com *.youtube.com youtube.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.yandex.ru https://*.yandex.ru *.yandex.ru;";
$csp_my .= "font-src 'self' http://*.gstatic.com https://*.gstatic.com *.gstatic.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com;";
$csp_my .= "frame-ancestors 'self';";
$csp_my .= "frame-src 'self' http://*.doubleclick.net https://*.doubleclick.net *.doubleclick.net http://*.google.com https://*.google.com *.google.com https://*.googleadservices.com http://*.googleadservices.com *.googleadservices.com;";
$csp_my .= "img-src 'self' data: https://*.google.com http://*.google.com *.google.com http://*.google-analytics.com https://*.google-analytics.com *.google-analytics.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com https://*.googlesyndication.com http://*.googlesyndication.com *.googlesyndication.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.doubleclick.net https://*.doubleclick.net *.doubleclick.net http://*.yandex.ru https://*.yandex.ru *.yandex.ru http://*.yadro.ru https://*.yadro.ru *.yandex.ru http://c.hit.ua ;";
$csp_my .= "media-src 'self' ;";
$csp_my .= "object-src 'self' https://*.ytimg.com http://*.ytimg.com *.ytimg.com ytimg.com https://*.youtube.com http://*.youtube.com *.youtube.com youtube.com http://*.googlevideo.com https://*.googlevideo.com *.googlevideo.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com;";
$csp_my .= "script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.google.com https://*.google.com *.google.com http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com https://*.googlesyndication.com http://*.googlesyndication.com *.googlesyndication.com http://*.ok.ru https://*.ok.ru *.ok.ru http://*.google-analytics.com https://*.google-analytics.com *.google-analytics.com http://*.yandex.ru https://*.yandex.ru *.yandex.ru http://*.mail.ru https://*.mail.ru *.mail.ru https://*.twitter.com http://*.twitter.com *.twitter.com https://*.facebook.com http://*.facebook.com *.facebook.com https://vk.com http://vk.com vk.com https://*.vk.com http://*.vk.com *.vk.com ;";
$csp_my .= "style-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.googleapis.com https://*.googleapis.com *.googleapis.com http://*.gstatic.com https://*.gstatic.com *.gstatic.com;";
$csp_my .= "default-src 'self' http://{$_SERVER['SERVER_NAME']} {$_SERVER['SERVER_NAME']}.com;";
// уберем все переносы если кто то сунул
$csp_my = str_replace("\r\n",'', $csp_my);
$csp_my = str_replace("\n",'', $csp_my);
// сформируем заголовок
header("Content-Security-Policy: " . $csp_my . $uri_report);

// Google (Youtube Api Adsense Analytics) Yandex Mail.ru Twitter FB VK OK.ru HIT.ua
LEOnidUKG
На сайте с 25.11.2006
Offline
1753
#640

Ilekor, бред. Например гугл аналитик и метрика не нужна на сайтах, где её нет. А вот модуля могут её подгружать туда где она не нужна.

$csp_my .= "default-src 'self' http://{$_SERVER['SERVER_NAME']} {$_SERVER['SERVER_NAME']}.com;";

Это что за бред, ещё и .com?!

Зачем дублировать так?

---------- Добавлено 06.09.2015 в 22:13 ----------

Так же как он может подойти всем если у большинства стоят партнёрки всякие.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий