Настройка CSP - Content Security Policy

Странно, что их стало меньше - ваш сайт не отдаёт заголовков CSP.

Зайдите на http://rexswain.com/httpview.html и введите в поле URL http://ya.ru, после нажатия на submit увидите:

Видно, что ya.ru отдаёт CSP-заголовки

CSP из того поста будет резать Google-Аналитику, счётчики и кнопки соцсетей. Её надо допилить под вас. Для этого надо знать какие именно счётчики(походу -Li.ru) используются, и какие кнопки соцсетей - share.js от Яндекса?

И, добиться, чтобы ваш сайт отдавал CSP-заголовки (смотреть их можно по rexswain.com выше). Тогда их можно будет довести до ума.

Отдельное спасибо Ladycharm за ценную инфу в топике (и труды по чистке своей CSP для общего использования).

А вообще, всё равно ведь лезут. jquerys и musicalert-ы сошли на нет, а всякие новоявленные toolb.eu, obnovlenie.eu, sustema.eu проскакивают, пусть и очень небольшой процент (если сравнивать с тем, когда я о CSP не слышал, но наблюдал по полторы тыщи переходов на Websocial несколько месяцев назад).

На мой взгляд, рекламные сети должны уже официально информировать о настройках CSP для своего кода

Ну, Яндекс - субботники по CSP устраивает, умный дядечка из Google (Adam Barth, редактор http://www.w3.org/TR/CSP/) на ютубе выступает с лекциями про CSP.

А на деле:

Ролики ютуба вставляются на сайт в iframe, и заголовки CSP для iframe должен отправлять youtube (это же другая страница с другого домена).

И ютуб не отправляет нужные заголовки CSP.

Объявления Адсенса - так же вставляются в iframe... и, естественно, Google не отправляет нужные заголовки CSP для адсенсовских ифреймов.

А мы не можем давать заголовки CSP для чужих ифреймов, поэтому содержимое iframe совершенно беззащитно. Яваскриптом там можно делать что угодно, кроме смены scr=''(которое мы имеем возможность контролировать по CSP).

Такое ощущение, что мужикиредакторы CSP из w3c - диванные теоретикисовершенно оторваны от реальности, и выдумывают правила CSP, которые на деле не позволяют ничем управлять.

Им бы дать лопаты в рукипо сайту каждому - пусть попробуют на практике применить то, что они уже 4-й год разрабатывают!

Уже исследования проводятся на тему почему провалился проект CSP?(осторожно, английский)

Два раза за ноябрь/декабрь попадал под фильтр. Первый раз продлилось неделю, написал Платонам, они стандартно отписались что с сайтом все ок и он через неделю востановил трафик.

Но не долго песенка играла, прошло 2 недели и опять падение. Платоны 1 раз опять ответили что все ок, потом что проверят, на 2 письма вообще не ответили.

Левых переходов у меня было много, сегодня прописал вот что

работает реклама гугла, ЛИ, метриа, все соц кнопки и виджеты ВК.

левые переходы прекратились.

CTR и Доход с гугла немного подрос, по сравнению со вчерашним днем. Наблюдаю дальше, надеюсь поможет.

соц кнопки от кого? Яндексовский share.js или mail.ru-шные? РСЯ/Директа на сайте нет?

Вообще, "Списывать - не хорошо", а "списывать CSP" - надо с умом и только из правильного источника.

1). Вот вы открыли my2.imgsmail.ru в директиве script-stc, а это CDN mail.ru, с него грузятся не только скрипты, но и картинки.

И у этого CDN - много серверов: my1.imgsmail.ru, my3.imgsmail.ru, ..., my10.imgsmail.ru, а вы открыли только один из них.

Например, иконка доступна на всех серверах:
http://my8.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png
http://my3.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png
http://my5.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png

2). Ваша CSP ничего не блокирует, никакие "гобонго" и тп, потому, что у неё некорректный синтаксис.

Директивы script-src/img-src/connect-src/... должны отделяться друг от друга ; (SEMICOLON). Вот кусок вашей CSP:

а вот как он должен выглядеть:

PS: И это - к счастью для вас, что CSP ничего не блокирует - с такой CSP вы бы сразу не досчитались дохода на Адсенсе.

Судят по статистике LI все работало, левые переходы прекратились, но все равно спасибо, ошибку исправил.

РСЯ/Директа нет, кнопки работают Яндексовские share.js

К вопросу о нестандартных заголовках original-uri.

Все отчеты ими просто забиты. Причем блокировка идет из AdSense и рекламной сети adriver.

Блокируются локальные адреса, типа blocked-uri:http://192.168.65.31.

Чувствую, теряю деньги...

P.S. Разобрался. Блокируются даже из собственных локальных js.

Браузер преимущественно Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0

Это не совсем так - именно для этого и придуман атрибут sandbox в таге iframe. Он ограничивает возможности ифрейма и создан именно для ограничения риска со стороны чужого кода.

Обрыл всю тему, но - или пропустил, или нет ответа.

А как узнать, какую из политик нарушает тот или иной урл?

Например, Гугл нарушает политику script-src, style-src и другие. А вот как узнать, какие именно?

P. S. C этим разобрался - нужно смотреть violated-directive в отчете.

Вот только она не выводиться для кода

header("HTTP/1.0 204 No Response");



$data = file_get_contents('php://input');

if ($data = json_decode($data))

{

$data=stripslashes(json_encode($data));

if (spam($data)==0)

{

preg_match('#"blocked-uri":"(.*)",#isU',$data,$url);

if ($url[1])

{

preg_match('#"violated-directive":"(.*)",#isU',$data,$url1);

$var_array = explode('/',$url[1]);

if ($var_array[2])file_put_contents($_SERVER['DOCUMENT_ROOT'].'/path/csp/'.$var_array[2], $url1[1].':'.$_SERVER['HTTP_USER_AGENT'].':'.$_SERVER['REMOTE_ADDR']."\n\r\n", FILE_APPEND | LOCK_EX);

else file_put_contents($_SERVER['DOCUMENT_ROOT'].'/path/csp/'.date("H").'-csp-report.txt', $data.'======='.$_SERVER['HTTP_USER_AGENT'].'============'.$_SERVER['REMOTE_ADDR']."\n\r\n", FILE_APPEND | LOCK_EX);

}

else file_put_contents($_SERVER['DOCUMENT_ROOT'].'/path/csp/'.date("H").'-csp-report.txt', $data.'======='.$_SERVER['HTTP_USER_AGENT'].'============'.$_SERVER['REMOTE_ADDR']."\n\r\n", FILE_APPEND | LOCK_EX);

}

} 

Не работает секция

preg_match('#"violated-directive":"(.*)",#isU',$data,$url);