Вставьте в плагин wordpress для заголовка - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

T

91

tylatong

15 сентября 2015, 17:42

#691

Ребя, не ругайтесь сильно, но будьте добры пожалуйста - дайте пожалуйста шаблон кода, который нужно вставть в плагин wordpress для заголовка, при этом что бы картинки грузились с любого сайта. Спасибо Вам большое!

РКН: консультации, помощь с разблокированием, работа с конкурентами.

Ищу поиск для Wordpress Код для wordpress как проиндексировать сайт?

L

351

Ladycharm

16 сентября 2015, 10:29

#692

tylatong:
дайте пожалуйста шаблон кода, который нужно вставть в плагин wordpress для заголовка, при этом что бы картинки грузились с любого сайта.

Что за плагин и в каком виде он требует заголовок?

Вот полный заголовок CSP "картинки отовсюду, остальное - только со своего сайта, eval в яваскриптах запрещён":

Content-Security-Policy default-src 'unsafe-inline' 'self' ваш_сайт *.ваш_сайт https://ваш_сайт https://*.ваш_сайт; img-src * data: https:;

Если отдавать его на PHP, то заголовок будет выглядеть так:

header("Content-Security-Policy: default-src 'unsafe-inline' 'self' ваш_сайт *.ваш_сайт https://ваш_сайт https://*.ваш_сайт; img-src * data: https:;");

PS: Если сайт работает только по http:, то всё, что с https:// можно убрать.

1

Как сделать редирект (301, Пишу простенькие плагины для Бешеннная загрузка проца из

T

91

tylatong

16 сентября 2015, 10:35

#693

Спасибо! А как добавить в этот код еще счетчики, тизерки?

237

D.iK.iJ

16 сентября 2015, 15:57

#694

tylatong:
Спасибо! А как добавить в этот код еще счетчики, тизерки?

Открываете разработчик в Хроме и смотрите на что ругается. Ну и так пройтись по сайту.

Адаптивный дизайн в 2 строчки ( https://dikij.com/wm/adaptaciya-saytov.php ). + Принимаю заказы любой сложности ( https://searchengines.guru/ru/forum/926323 ). 💎 Еще я делаю классные кулоны с опалами ( https://mosaicopal.ru/ ).

114

fliger

17 сентября 2015, 06:29

#695

Перелопатил всю тему и попытался собрать воедино то, что нужно для работы ТОЛЬКО AdSense.

В этом коде указаны только self (используется в сочетании МОЙ_ДОМЕН) и домены для AdSense). В default-src почему-то режет googleads.g.doubleclick.net, поэтому вставил его туда (раньше этого не наблюдал).

Поправьте меня, коллеги, если что-то упустил и вставил лишнее для AdSense.


default-src 'self' *.doubleclick.net https://*.doubleclick.net;

connect-src 'none';

media-src 'none';

font-src *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;

frame-src *.doubleclick.net *.googleadservices.com *.googlesyndication.com https://*.doubleclick.net https://*.googleadservices.com https://*.googlesyndication.com;

img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googleapis.com https://*.googlesyndication.com https://*.gstatic.com;

object-src *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com;

script-src 'self' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com;

style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;

AdSense для контекста - Переписать csp правила Резкое падение позиций в

114

fliger

17 сентября 2015, 09:47

#696

Чтобы легче читалось, убрал все дубли доменов AdSense с https://

default-src 'self';

connect-src 'none';

media-src 'none';

font-src *.googleapis.com *.gstatic.com;

frame-src *.doubleclick.net *.googleadservices.com *.googlesyndication.com;

img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com;

object-src *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com;

script-src 'self' 'unsafe-eval' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com;

style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com;

Хотелось бы получить исчерпывающий список доменов по каждому правилу ТОЛЬКО ДЛЯ AdSense - чтобы не было ничего лишнего.

Беда wap рынка. Гугл Резкое падение позиций в Вредители ad-tizer.net

L

351

Ladycharm

17 сентября 2015, 13:08

#697

fliger:
В default-src почему-то режет googleads.g.doubleclick.net, поэтому вставил его туда (раньше этого не наблюдал).

1. Блокировка сыпется в default-src если она возникает в директиве, которая явно не указана в вашей CSP (и её правила инициируются из default-src). Это "косяк" реализации CSP 1.1, его исправили в CSP level 2. Но браузеры на сегодня поддерживают только CSP 1.1.

fliger:
Поправьте меня, коллеги, если что-то упустил и вставил лишнее для AdSense.

В общем, ничего не упустили, 'self' только пропишите в начале каждой директивы.

Из "лишнего":

*.2mdn.net *.googlesyndication.com https://*.2mdn.net https://*.googlesyndication.com в директиве object-src

*.doubleclick.net https://*.doubleclick.net в директиве default-src

Adwords взмломан. Ваш мобильный Резкое падение позиций в Влияние блокировки "Яндекс советника"

114

fliger

17 сентября 2015, 14:18

#698

Ladycharm:
Блокировка сыпется в default-src если она возникает в директиве, которая явно не указана в вашей CSP

В том то и дело, что все директивы были явно указаны, но несколько раз default-src резались fonts.gstatic.com, googleads.g.doubleclick.net, https://googleads.g.doubleclick.net, pagead2.googlesyndication.com

Ladycharm:
'self' только пропишите в начале каждой директивы.

Я прописал 'none' в тех директивах, которые вообще не использую.

С учетом всех сообщений Ladycharm в этой теме выкладываю общий список правил для AdSense. Все домены в каждой секции продублировать с https://.

default-src 'self';
connect-src 'none';
font-src *.googleapis.com *.gstatic.com;
frame-src *.doubleclick.net *.googleadservices.com *.googlesyndication.com;
img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com;
media-src 'none';
object-src googleads.g.doubleclick.net *.gstatic.com;
script-src 'self' 'unsafe-eval' 'unsafe-inline' *.doubleclick.net *.googlesyndication.com *.gstatic.com;
style-src 'self' 'unsafe-inline' *.gstatic.com fonts.googleapis.com;

L

351

Ladycharm

17 сентября 2015, 14:32

#699

fliger:
В том то и дело, что все директивы были явно указаны, но несколько раз default-src резались fonts.gstatic.com, googleads.g.doubleclick.net, https://googleads.g.doubleclick.net, pagead2.googlesyndication.com

Эти "несколько раз" могли быть от старых браузеров, не полностью поддерживающих CSP, надо смотреть их ЮзерАгент.

fliger:
Я прописал 'none' в тех директивах, которые вообще не использую.

Лучше прописать в них 'self' вместо 'none', некоторые версии Хрома имеют баг на эту тему.

Резкое падение позиций в Влияние блокировки "Яндекс советника" Переходы с сайта на

114

fliger

17 сентября 2015, 15:04

#700

Из отчета:

object-src режет http://pagead2.googlesyndication.com

Вставлять этот домен для AdSense в object-src?

Google: E-E-A-T не является фактором ранжирования

Маркетинг для шоколадной фабрики. На 34% выше средний чек

Настройка CSP - Content Security Policy