- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
P. S. C этим разобрался - нужно смотреть violated-directive в отчете.
Вот только она не выводиться для кода
В CSP 1.0 к сожалении можно только догадыватся по violated-directive. В CSP 1.1 есть новая директива effective-directive которая должна точно показывать какой ресурс конкретно был заблокирован.
Да разобрался во всем уже - заработало так, как надо.
Пара ошибок в коде...
Не пойму только, их специально вставили или различия в версиях PHP?
прописал в .htaccess все, но пеерходы продолжидись и через проверку http://rexswain.com/httpview.html CSP не возврашает. что делать?
Это не совсем так - именно для этого и придуман атрибут sandbox в таге iframe. Он ограничивает возможности ифрейма и создан именно для ограничения риска со стороны чужого кода.
Увы, директива sandbox позволяет рулить всего 6 атрибутами: allow-forms, allow-pointer-lock, allow-popups, allow-same-origin, allow-scripts и allow-top-navigation.
Отключить в сандбоксе можно(и нужно) только allow-top-navigation - это позволит заблокировать некоторых особо хитрых рекламодателей.
Тронете остальные атрибуты -> может перестать работать Адсенс.
прописал в .htaccess все, но пеерходы продолжидись и через проверку http://rexswain.com/httpview.html CSP не возврашает. что делать?
Или:
- у вас не работает управление http-заголовками через .htaccess - хостер может отключать эту фичу
- что-то в htaccess прописано неправильно (обычно при этом перестаёт работать сайт и кидает ошибку 500)
- у веб-сервера не установлен mod_headers (в природе практически не встречается)
Пропишите в .htaccess заголовки по-проще (в них сложнее накосячить и они - полезные для сайта):
и проверьте через http://rexswain.com/httpview.html станут ли они видны.Если нет - вопросы к хостеру. Если станут - будем аккуратно вставлять CSP.
и проверьте через http://rexswain.com/httpview.html станут ли они видны.
А почему бы не установить дополнение к одному из браузеров, которое называется "Web Developer Toolbar" и не смотреть заголовки ответа сервера через него?
С ним все просто - на той странице, заголовки который нужно получить, открываете вкладку тулбара "Information", и выбираете последнюю строку "View Response Headers" - и в новой вкладке открываются заголовки ответа сервера. Просто и удобно... 🍿
А почему бы не установить дополнение к одному из браузеров,
и не смотреть заголовки ответа сервера через него?
Зачем лишний хлам в памяти?
wget --server-response w3.org
wget --save-headers w3.org
Artisan, AlexGRR - совет был дан человеку, у которого под руками может не оказаться никакого предустановленного софта. И заголовок ему надо посмотреть - 1 раз в жизни.
Скачивать и ставить плагин к браузеру - заранее неизвестно, что он корректно всё показывает, и
не начнёт потом вам рекламу в браузере подменять? Мы с помощью CSP как раз и боремся с вредоносными "плагинами".
В техническом плане wget работает гораздо прозрачнее и надёжнее, но встроенного wget-а под Виндой - нет (в XP - точно).
PS: Из-под *-никсов можно и curl запускать: curl -I habrahabr.ru | grep -F 'Content-Security' | more
Не надо никаких плагинов и сервисов. В современных браузерах всё уже есть "из коробки". Firefox и Chrome - нажимаем Ctrl+Shift+J, Internet Explorer - F12. Вкладка "Сеть" покажет все сетевые запросы, а по клику - заголовки клиента и сервера.
Пропишите в .htaccess заголовки по-проще (в них сложнее накосячить и они - полезные для сайта):
и проверьте через http://rexswain.com/httpview.html станут ли они видны.
Если нет - вопросы к хостеру. Если станут - будем аккуратно вставлять CSP.
Да, проблема была у хостера. Все сделал и CSP через rexswain.com стал виден.
Сделал код для себя но при вставке с заголовком Content-Security-Policy он работает нормально, виден через CSP, на счет переходов еще не успел заметить. ПРОБЛЕМА, может кто сталкивался при вставке тогоже кода с заголовком X-WebKit-CSP сайт перестает работать.
при вставке тогоже кода с заголовком X-WebKit-CSP сайт перестает работать.
В каком браузере проверяете? Этот заголовок предназначен для старых браузеров. Если в новом перестает работать, ошиблись при вставке кода скорее всего.