Лучше почитайте топик, поучитесь у тех, кто уже год работает с ней - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

138

Ilekor

6 сентября 2015, 17:55

#651

LEOnidUKG:
Ого, уже 30. И где все эти люди? В каком браузере? Во всех что-ли? Короче опять спорт на уровне теорий.

Мозила и хром, не скажу каких версий, не помню, операционки вин 7 и хп. Эти данные вам ничего не дадут.

LEOnidUKG:
Всё вопрос закрыт, ещё один уходит в игнор. Удачи.

LEOnidUKG, и вам счастливо.

1

Лучший дорген 21 века AgDor(http://agdor.info)

L

351

Ladycharm

6 сентября 2015, 23:05

#652

LEOnidUKG:
На документации.Если вы не указываете протокол, то протокол берётся вашего сайта. Нафиг указывать с протоколом и без?! В чём смысл?

Вы какую документацию читали, от "CSP 1.1" или "CSP level 2"?

"то протокол берётся вашего сайта" на техническом языке называется "Same Origin Policy"(SOP). Когда вы наберёте немного опыта по CSP - узнаете, что SOP придерживаются не все браузеры и не все скрипты партнёрок, увы.

Также, браузеры несколько вольно реализуют "Рекомендации Content Security Policy от W3C", поскольку это пока ещё рекомендации, а не стандарт.

Поэтому для надёжности приходится дублировать домены с http:// и с https://

LEOnidUKG:
Зачем указывать свой домен если есть 'self'?

Chrome 14-24, Safari 5-7 имеют лишь частичную поддержку стандартного CSP. В частности, старый Safari не понимает 'self'.

Если вы вставляете CSP в htaccess, нет возможности определять версию браузера и подстраивать под неё CSP. Приходится делать максимально универсально, иначе теряешь посетителей -> доходы с сайта.

PS: Вы же только неделю назад услышали слово "CSP". Лучше почитайте топик, поучитесь у тех, кто уже год работает с ней.

Переходы с сайта на Adwords взмломан. Ваш мобильный Re: Резкое падение позиций

1774

LEOnidUKG

7 сентября 2015, 05:19

#653

Всё таки придётся королеве ответить.

Поэтому для надёжности приходится дублировать домены с http:// и с https://

Я и так это делаю, если вы посмотрели мой большой пост. Это не я утверждал, что можно без протокола. Я своим клиентам только с протоколом настраиваю. Не надо путать меня и других пользователей форума.

В частности, старый Safari не понимает 'self'.

На чхать на сафари, особенно на старые, туда вряд ли пихают всякие говонорасширения.

PS: Вы же только неделю

Ваш муж Ilekor? А то одинаковые закидоны. Я с вами лично не знаком, откуда вы клоуны знаете, что я знаю и сколько? :D

Всё, больше на больные вбросы по моей личности не отвечаю.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/

Аукцион: СМИ, тИЦ 20, Спорная ситуация с клиентом) Что за хостинг qwarta.ru?

ES

3

Eugene_Schmied

7 сентября 2015, 21:12

#654

люди, подскажите, что за домен _bcp.crwdcntrl.net ??

уж ОЧЕНЬ много его в логах заблоченого, причём на всех сайтах регулярно он в большом количестве светится в логах.

в инете про него ничего толком не нарыл. никак не пойму, это что-то нужное или нет?

из рекламы на сайтах только Adsense.

---------- Добавлено 08.09.2015 в 00:16 ----------

и ещё magicplayer-s.acestream.net частый гость на нескольких сайтах.

это что? видео у меня только Youtube

---------- Добавлено 08.09.2015 в 00:27 ----------

ещё вот часто наблюдаю в логах:

q-searcher-v3.biz

dl.metabar.ru

am-15.net

tds2.mycpm.ru

cdn.mecash.ru

pu.nupiho.ru

кто в курсе, что за домены? есть из всего этого что-то нужное, белое и пушистое?

---------- Добавлено 08.09.2015 в 00:28 ----------

ещё вопрос : akamaihd.net с поддоменами имеет отношение к Google Adsense или нет?

Беда wap рынка. Гугл Помогу временно с жильем. Youtube - Вопросы новичков

1774

LEOnidUKG

8 сентября 2015, 05:43

#655

Да не найдёте вы ничего про них. Это вирусы, что они вам должны в блогах отписываться, что они делают? Да никогда в жизни.

667

Redbaron _chaos

8 сентября 2015, 07:39

#656

В общем на данный момент, третий день с защитой:

На сайте, где больше всего было кликов с Аденса и траффа (по нему проще следить), кол-во кликов увеличилось практически в 2 раза. Правда и чуть траффика приросло, ну грубо говоря в 1,5 раза увеличилось кликов.

В отчетах чего только нет, начиная от Маркетгида и кликандера, и заканчивая не пойми чем (тупо набор букв).

На остальных тоже пока в плюс все, хотя не так много как по сайту выше. Но на них и посещаемость ниже.

Может и совпадение.

ПыСы

Кстати, по первому сайту: резкая просадка в кликах и доходах началась в мае. При этом трафф практически на прежнем уровне остался.

Меня все лето мучал вопрос с кликами...именно что кол-во просело. Так как с ценой клика и так все понятно.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )

Просел доход на адсенс Просел доход на адсенс Просел доход на адсенс

ES

3

Eugene_Schmied

8 сентября 2015, 08:38

#657

LEOnidUKG,

LEOnidUKG:
Да не найдёте вы ничего про них. Это вирусы, что они вам должны в блогах отписываться, что они делают? Да никогда в жизни.

то есть из всего набора, что я написал ничего нужного нет? можно смело игнорировать это всё?

1774

LEOnidUKG

8 сентября 2015, 08:39

#658

Eugene_Schmied:
LEOnidUKG,

то есть из всего набора, что я написал ничего нужного нет? можно смело игнорировать это всё?

Игнорить надо всё, что не подключено на вашем сайте.

ES

3

Eugene_Schmied

8 сентября 2015, 08:43

#659

LEOnidUKG, понятно. так и будем делать :)

кстати, такой вопрос: а если Яндекс метрика (mc.yandex.ru) у меня на одном сайте периодически в блок попадает, хотя она прописана в разрешённых (но её самой нет на сайте, я не пользуюсь), то Яндекс за это не будет ругаться?

Глюк в сохраненке. CLS новая пузомерка гугла Скорость сайта

1774

LEOnidUKG

8 сентября 2015, 09:20

#660

Eugene_Schmied:
LEOnidUKG, понятно. так и будем делать :)

кстати, такой вопрос: а если Яндекс метрика (mc.yandex.ru) у меня на одном сайте периодически в блок попадает, хотя она прописана в разрешённых (но её самой нет на сайте, я не пользуюсь), то Яндекс за это не будет ругаться?

Если у вас на сайте есть метрика, то помимо скриптов её надо разрешить в connect-src

Или вообще сделать connect-src *;

connect-src Специальные директивы для XMLHttpRequest, WebSocket и EventSource.

Но если у вас нет метрики на сайте, то ничего подключать не нужно.

Резкое падение позиций в Анализ нагрузки сайта Re: Резкое падение позиций

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Open AI тестирует память для ChatGPT

Настройка CSP - Content Security Policy