Настройка CSP - Content Security Policy

В CSP 1.0 к сожалении можно только догадыватся по violated-directive. В CSP 1.1 есть новая директива effective-directive которая должна точно показывать какой ресурс конкретно был заблокирован.

Да разобрался во всем уже - заработало так, как надо.

Пара ошибок в коде...

Не пойму только, их специально вставили или различия в версиях PHP?

прописал в .htaccess все, но пеерходы продолжидись и через проверку http://rexswain.com/httpview.html CSP не возврашает. что делать?

Увы, директива sandbox позволяет рулить всего 6 атрибутами: allow-forms, allow-pointer-lock, allow-popups, allow-same-origin, allow-scripts и allow-top-navigation.

Отключить в сандбоксе можно(и нужно) только allow-top-navigation - это позволит заблокировать некоторых особо хитрых рекламодателей.

Тронете остальные атрибуты -> может перестать работать Адсенс.

Или:

- у вас не работает управление http-заголовками через .htaccess - хостер может отключать эту фичу

- что-то в htaccess прописано неправильно (обычно при этом перестаёт работать сайт и кидает ошибку 500)

- у веб-сервера не установлен mod_headers (в природе практически не встречается)

Пропишите в .htaccess заголовки по-проще (в них сложнее накосячить и они - полезные для сайта):

<ifModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
  Header set X-Frame-Options "DENY"
</IfModule>

Если нет - вопросы к хостеру. Если станут - будем аккуратно вставлять CSP.

А почему бы не установить дополнение к одному из браузеров, которое называется "Web Developer Toolbar" и не смотреть заголовки ответа сервера через него?

С ним все просто - на той странице, заголовки который нужно получить, открываете вкладку тулбара "Information", и выбираете последнюю строку "View Response Headers" - и в новой вкладке открываются заголовки ответа сервера. Просто и удобно... 🍿

Зачем лишний хлам в памяти?

wget --server-response w3.org

wget --save-headers w3.org

Artisan, AlexGRR - совет был дан человеку, у которого под руками может не оказаться никакого предустановленного софта. И заголовок ему надо посмотреть - 1 раз в жизни.

Скачивать и ставить плагин к браузеру - заранее неизвестно, что он корректно всё показывает, и

не начнёт потом вам рекламу в браузере подменять? Мы с помощью CSP как раз и боремся с вредоносными "плагинами".

В техническом плане wget работает гораздо прозрачнее и надёжнее, но встроенного wget-а под Виндой - нет (в XP - точно).

PS: Из-под *-никсов можно и curl запускать: curl -I habrahabr.ru | grep -F 'Content-Security' | more

Не надо никаких плагинов и сервисов. В современных браузерах всё уже есть "из коробки". Firefox и Chrome - нажимаем Ctrl+Shift+J, Internet Explorer - F12. Вкладка "Сеть" покажет все сетевые запросы, а по клику - заголовки клиента и сервера.

<ifModule mod_headers.c>

  Header set X-XSS-Protection "1; mode=block"

  Header set X-Frame-Options "DENY"

</IfModule>

Да, проблема была у хостера. Все сделал и CSP через rexswain.com стал виден.

Сделал код для себя но при вставке с заголовком Content-Security-Policy он работает нормально, виден через CSP, на счет переходов еще не успел заметить. ПРОБЛЕМА, может кто сталкивался при вставке тогоже кода с заголовком X-WebKit-CSP сайт перестает работать.

В каком браузере проверяете? Этот заголовок предназначен для старых браузеров. Если в новом перестает работать, ошиблись при вставке кода скорее всего.