- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
<ifModule mod_headers.c>
Header set Content-Security-Policy: "код"
Header set X-WebKit-CSP "код"
</IfModule>
код идентичный.
Проверяю чере мозиллу 34.0.5
Для X-WebKit-CSP должен быть код с вариациями?
замечу, что после X-WebKit-CSP у вас нет двоеточия, а у Content-Security-Policy почему-то есть. Надеюсь, на сервере их нет? ;)
мозилла не использует заголовок X-WebKit-CSP, поэтому проблема вызвана опечатками или неправильным синтаксисом конфигурационного файла веб-сервера
<ifModule mod_headers.c>
Header set Content-Security-Policy: "код"
Header set X-WebKit-CSP "код"
</IfModule>
код идентичный.
Проверяю чере мозиллу 34.0.5
Для X-WebKit-CSP должен быть код с вариациями?
Двоеточия не надо. Если сайт не работает - это синтаксическая ошибка в .htaccess
Код для заголовка X-WebKit-CSP - без вариаций, но этот заголовок можно не делать. Его на сегодня понимают только некоторые версии Safari для "iPad Mac OS X" - они даже встречаются не каждый день на сайте с 5000 уников в сутки.
Двоеточия убрал. Дальше осталось посмотреть или переходы исчезнут.
---------- Post added 10-01-2015 at 20:13 ----------
еще маленькая проблема на сайте стоял код поиска по сайту от яндекса:
<div class="ya-site-form ya-site-form_inited_no" onclick="return {'action':'http://САЙТ.ru','arrow':false,'bg':'transparent','fontsize':12,'fg':'#000000','language':'ru','logo':'rb','publicname':'Поиск по САЙТ.ru','suggest':true,'target':'_self','tld':'ru','type':2,'usebigdictionary':true,'searchid':2158851,'webopt':false,'websearch':false,'input_fg':'#000000','input_bg':'#ffffff','input_fontStyle':'normal','input_fontWeight':'normal','input_placeholder':null,'input_placeholderColor':'#000000','input_borderColor':'#7f9db9'}"><form action="http://yandex.ru/sitesearch" method="get" target="_self"><input type="hidden" name="searchid" value="2158851"/><input type="hidden" name="l10n" value="ru"/><input type="hidden" name="reqenc" value=""/><input type="search" name="text" value=""/><input type="submit" value="Найти"/></form></div><style type="text/css">.ya-page_js_yes .ya-site-form_inited_no { display: none; }</style><script type="text/javascript">(function(w,d,c){var s=d.createElement('script'),h=d.getElementsByTagName('script')[0],e=d.documentElement;if((' '+e.className+' ').indexOf(' ya-page_js_yes ')===-1){e.className+=' ya-page_js_yes';}s.type='text/javascript';s.async=true;s.charset='utf-8';s.src=(d.location.protocol==='https:'?'https:':'http:')+'//site.yandex.net/v2.0/js/all.js';h.parentNode.insertBefore(s,h);(w[c]||(w[c]=[])).push(function(){Ya.Site.Form.init()})})(window,document,'yandex_site_callbacks');</script>
<div id="ya-site-results" onclick="return {'tld': 'ru','language': 'ru','encoding': '','htmlcss': '1.x','updatehash': true}"></div><script type="text/javascript">(function(w,d,c){var s=d.createElement('script'),h=d.getElementsByTagName('script')[0];s.type='text/javascript';s.async=true;s.charset='utf-8';s.src=(d.location.protocol==='https:'?'https:':'http:')+'//site.yandex.net/v2.0/js/all.js';h.parentNode.insertBefore(s,h);(w[c]||(w[c]=[])).push(function(){Ya.Site.Results.init();})})(window,document,'yandex_site_callbacks');</script>
что где прописать чтобы он снова работал?
Двоеточия убрал. Дальше осталось посмотреть или переходы исчезнут.
Типа - да, но переходы в Метрике - вторичны, их можно тупо накручивать, даже на заходя на сайт.
Главное - убедится, что реклама не режется, виджеты соцсетей, счётчики, метрики, ролики youtube.
И увидеть, что доход с сайта возрос :) Это - основное свидетельство того, что ваша CSP работает "как доктор прописал".
еще маленькая проблема на сайте стоял код поиска по сайту от яндекса:
. . .
что где прописать чтобы он снова работал?
Выложите ваши правила CSP, а лучше - киньте url сайта в личку.
Ребят, а может кто-то помочь реализовать все это под nginx ?
Я Апача на серверах не держу совсем.
Погуглил немного, но одно старье попадается...
Vipper222, а в чем проблема с nginx? Нужен только модуль ngx_http_headers_module и строка с заголовком CSP в nginx.conf Сами правила политики от используемого сервера не зависят.
Ребят, а может кто-то помочь реализовать все это под nginx ?
Я Апача на серверах не держу совсем.
Погуглил немного, но одно старье попадается...
все то же самое через add_header Content-Security-Policy как я понял
Malcolm,
Никаких с модулей цеплять при сборке nginx не нужно?
А вот такие вещи нужны?
add_header X-XSS-Protection "1; mode=block";
Или это из другой оперы?
add_header Content-Security-Policy вставляется в секцию server { или можно глобально на все сайты задать?
Начитался вот тут - https://gist.github.com/plentz/6737338
add_header Content-Security-Policy вставляется в секцию server { или можно глобально на все сайты задать?
Можно прям в http добавить. Хотя если сайтов несколько, то лучше в server или location для каждого отдельно.
А вот такие вещи нужны?
Это для IE заплатки. Не помешает, но к CSP отношения не имеет.
Никаких с модулей цеплять при сборке nginx не нужно?
Для использования add_header нужен только ngx_http_headers_module.