Настройка CSP - Content Security Policy

Конструкция CSP для AdSense

в файл .htaccess добавляется

здесь site.ru - ваш сайт

Также просьба поправить, если кто-то нашел поудобнее правила.

Математик 🤪 30% не к заработку, а 30% от потерянного...)

Уважаемые форумчане!

есть переходы на ab.musicalert.ru dm1.jquerys.ru в кол-ве 10 шт при посещаемости 5к в сутки.

Стоит ли заморачиваться с установкой CSP? Для меня это лес темнейший, лезть в это дело очень не хочется.

на сайте: рся, виджет вк, метрика, аналитикс и ли

Просто поставьте CSP на сайт и посмотрите, сколько разной гадости подгружается в код Вашего сайта.

И поверьте, счетчики "отлавливают" десятую часть переходов. Если не меньше...

Ребят объясните плиз нубу как поставить Content Security Policy на DLE например?

Что нужно вообще для этого?

Что нужно уточнить у хостера по поводу add_header

Настроил CSP, и возникла проблема со счетчиками. Метрика пишет что "код не установлен либо устарел но данные поступают" при этом траф весь считается и показывается. А в аналитиксе перестало учитываться около 15% трафа. Проверил работу CSP в консоли все без ошибок. Кто нибудь с таким сталкивался? Как исправить?

*.4zw.pw - malware, к адсенсу не относится.

http:// imrk.net - поддомен от рекламной сети AdvMaker, к Адсенсу не относится

qservz.com и c.mscimg.com - лень смотреть, но к Адсенсу не относятся, nslookup -type=all у них посмотри, там нет DNS от google -> фтопку

*.adobe.com - хороший домен, но не от Адсенса

По консоли браузера - очень грубая настройка, на неё нельзя полагаться. Она не моделирует полностью всего, что может происходить на сайте.

Укажите какие счётчики не работают и покажите свою CSP.

А чем более точно отслеживать?

Яндекс.метрика и гугл.аналитикс

default-src 'self' *.мой сайт мой сайт; 

script-src 'self' 'unsafe-inline' 'unsafe-eval' *.мой сайт мой сайт *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.smartadv.ru smartadv.ru *.cackle.me cackle.me *.addthis.com addthis.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com; 



frame-src 'self' *.мой сайт мой сайт *.cackle.me cackle.me *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.addthis.com addthis.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com; 

connect-src 'self' *.cackle.me cackle.me wss://*.cackle.me *.мой сайт мой сайт mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com; 



style-src 'self' 'unsafe-inline' 'unsafe-eval *.мой сайт мой сайт *.addthis.com addthis.com *.cackle.me cackle.me *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; 



font-src 'self' *.мой сайт мой сайт *.bootstrapcdn.com bootstrapcdn.com *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; 



img-src 'self' *.мой сайт мой сайт *.vk.me vk.me *.gravatar.com gravatar.com *.wp.com wp.com *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.smartadv.ru smartadv.ru *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data:; 



object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;

Как правильно добавить в белый список acint.net ?

Насколько я понял его добавляет код sape для ихней метрики.

В какие секции его добавлять? Может кто-то уже протестировал это.

только по отчётам CSP, методика настройки , только заголовки "X-WebKit-CSP", "X-Content-Security-Policy" - не нужны, достаточно "Content-Security-Policy".

Для работы метрики и аналитики к той CSP, что у вас есть, надо добавить домены:

в connect-src: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru

в img-src: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com

в script-src: https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru

вот как будет выглядеть итоговая CSP:

default-src 'self' *.мой сайт мой сайт; 
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.мой сайт мой сайт *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.smartadv.ru smartadv.ru *.cackle.me cackle.me *.addthis.com addthis.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru; 
frame-src 'self' *.мой сайт мой сайт *.cackle.me cackle.me *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.addthis.com addthis.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com; 
connect-src 'self' *.cackle.me cackle.me wss://*.cackle.me *.мой сайт мой сайт mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru; 
style-src 'self' 'unsafe-inline' 'unsafe-eval *.мой сайт мой сайт *.addthis.com addthis.com *.cackle.me cackle.me *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; 
font-src 'self' *.мой сайт мой сайт *.bootstrapcdn.com bootstrapcdn.com *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; 
img-src 'self' *.мой сайт мой сайт *.vk.me vk.me *.gravatar.com gravatar.com *.wp.com wp.com *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.smartadv.ru smartadv.ru *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com; 
object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;

Если уверены, что ничего больше не блокируется из нужного на сайте - enjoy!