Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1... 111213141516171819 ...101
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#141
Vipper222:
Как правильно добавить в белый список acint.net ?
Насколько я понял его добавляет код sape для ихней метрики.
В какие секции его добавлять? Может кто-то уже протестировал это.

Надо добавить в директивах следующее:

в script-src: 'unsafe-inline' *.acint.net https://*.acint.net acint.net https://acint.net

в img-src: *.acint.net https://*.acint.net acint.net https://acint.net

в style-src: 'unsafe-inline'

PS: Не палевно открывать домен, по которому поисковики сразу увидят аффилированность сайта с сапой?

C
На сайте с 07.05.2010
Offline
227
ctit ctit
#142
Ladycharm:

c.mscimg.com - лень смотреть, но к Адсенсу не относятся, nslookup -type=all у них посмотри, там нет DNS от google -> фтопку

помнится, это фотка с youtube, которую adsense может использовать для рекламы. Поэтому оставил.

purplemarple
На сайте с 21.12.2010
Offline
77
purplemarple
#143

Кто-нибудь может платно помочь полностью настроить CSP на WP?

L
На сайте с 07.12.2007
Offline
351
Ladycharm
#144
purplemarple:
Кто-нибудь может платно помочь полностью настроить CSP на WP?

Мы тут пока бесплатно помогаем нормальным сайтам. Вам обязательно платно надо?

Morrich
На сайте с 03.11.2011
Offline
92
Morrich
#145
Slavasamurai:
Да, проблема была у хостера. Все сделал и CSP через rexswain.com стал виден.

Аналогичная проблема. Добрый человек с этого форума подсказал, что хостер не дает управлять заголовками через .htaccess.

У меня vds с isp панелью. Хостер предлагает через кассу решить эту проблему:( Мб кто знает, что нужно сделать, чтобы можно было управлять заголовками через .htaccess?

спасибо!

SEO-продвижение сайтов в США: https://ux-journal.ru/seo-usa-europe.html
Ошибка при перезагрузке httpd VDS с IP адресом Если разрешить индексацию всего
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#146
Morrich:
хостер не дает управлять заголовками через .htaccess.
У меня vds с isp панелью. Хостер предлагает через кассу решить эту проблему:( Мб кто знает, что нужно сделать, чтобы можно было управлять заголовками через .htaccess?

Можно давать заголовки на PHP прямо в движке сайта(и это - идеологически правильнее), но нужно знать через какой модуль вашей CMS это делается.

У меня на сайтах везде вызывается общий shablon.php, я в нём после строки header("HTTP/1.1 200 OK"); вставляю заголовки своей CSP:


header("HTTP/1.1 200 OK");
header("Content-Security-Policy: default-src ....");
Morrich
На сайте с 03.11.2011
Offline
92
Morrich
#147
Ladycharm:
Можно давать заголовки на PHP прямо в движке сайта(и это - идеологически правильнее), но нужно знать через какой модуль вашей CMS это делается.

У меня на сайтах везде вызывается общий shablon.php, я в нём после строки header("HTTP/1.1 200 OK"); вставляю заголовки своей CSP:

т.е. та часть кода, которая присутствует на всех страницах сайта?

на wordpress, я так понимаю, это будет файл header.php в шаблоне темы?

L
На сайте с 07.12.2007
Offline
351
Ladycharm
#148
Morrich:
я так понимаю, это будет файл header.php в шаблоне темы?

Да, судя по заметке на Хабре - это самое оно!

Если у в вашем header.php есть нечто подобное:


<!doctype html>
<html>
<head>
    <meta http-equiv="Content-type" content="text/html; charset=<?php bloginfo('charset'); ?>">
    <meta http-equiv="X-UA-Compatible" content="IE=Edge">
    <title><?php wp_title('«', true, 'right'); ?> <?php bloginfo('name'); ?></title>
    <link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" />
    <?php wp_head(); ?>       ВОТ ТУТ WORDPRESS ВЫДАЁТ СВОИ ЗАГОЛОВКИ!!!
    СЮДА МОЖНО ВСТАВИТЬ ВАШИ ЗАГОЛОВКИ
</head>
<body <?php body_class(); ?>>
    <div class="wrapper">
. . . . . . .
если вставить после неё - заголовки CSP будут работать.

Если умеете "ковырять движок" - попробуйте вставить туда после <?php wp_head(); ?> строки:

<?php
header("X-Content-Type-Options: nosniff");
header("X-Frame-Options: DENY");
header("X-XSS-Protection: 1; mode=block");
?>
и посмотрите, что сайт начал их выдавать.

PS: Хотелось бы услышать спецов по Вордпрессу, как это сделать красиво, чтобы оно не удалилось при последующих апдейтах движка.

Может есть способ управлять функцией wp_head() через админку?

PPS: У Вордпресса есть штатные плагины для управления заголовками, например Header and Footer. Может, плагин проще поставить, чем раскурочить PHP-код.

Там простые окна для добавления, и автор пишет, что PHP must be add this way: <?php some code ?>. It can spans multiple lines.. то есть, <?php include("файл_заголовков"); ?> должен работать.

jpg header-footer-1.jpg
Morrich
На сайте с 03.11.2011
Offline
92
Morrich
#149
Ladycharm:

PS: Хотелось бы услышать спецов по Вордпрессу, как это сделать красиво, чтобы оно не удалилось при последующих апдейтах движка.
Может есть способ управлять функцией wp_head() через админку?

header.php лежит в папке с шаблоном. При обновлении движка папка с шаблоном не изменяется, поэтому этот кусочек деться никуда не должен. Если только шаблон обновлять не планируется, но это делается крайне редко

Malcolm
На сайте с 02.05.2007
Offline
119
Malcolm
#150
Ladycharm:
если вставить после неё - заголовки CSP будут работать

Все серверные заголовки должны выводиться до начала любого вывода html, поэтому вывод CSP нужно вставлять в самое начало файла. На любых движках.

1... 111213141516171819 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий