- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Извините пожалуйста, как же всё таки правильно выглядит полностью открытая директива img-src ?
Правильный синтаксис до ;
Скрупулезно точно по спецификации w3c:
Если у вас большой портал с разными разделами - возможно правильнее сделать свою CSP для каждого из разделов. Но через htaccess это сложно (надо писать условия для Rewrite Engine, что будет очень неудобно поддерживать потом).
Лучше всего - на PHP в движке сайта.
---------- Добавлено 19.01.2015 в 13:48 ----------
В логах периодически появляется pagead2.googlesyndication.com - violated-directive: пустая... чего за глюк х/з
Некоторые браузеры на инлайн-скрипты шлют полный отчёт с указанием номера строки("line-number" в CSP-отчётах), где возникла блокировка, а другие - пустую violated-directive.
Отдельные "особи" шлют даже "script-sample", но этого спецификация w3c не регламентирует.
Еще вопрос, вот всякие https://login.vk.com, http://awaps.yandex.ru просятся в директиву default-src.
Это вообще безопасно добавлять что либо левое в default-src ?
Vipper222, https://login.vk.com - во Frame просится...
Еще вопрос, вот всякие https://login.vk.com, http://awaps.yandex.ru просятся в директиву default-src.
Это вообще безопасно добавлять что либо левое в default-src ?
Безопасно, но идеологически - не верно. В default-src лучше прописывать 100% надежные домены - себя и можно Яндекс с Google.
У вас в CSP нет директивы frame-src, поэтому браузер инициирует её из default-src и при этом пишет, что заблокировано default-src, хотя реально блокируется в frame-src, как сказал samimages.
Если вы добавите в свою CSP правило
, то эти ваши блокировки блокировки будут показываться именно в ней.PS: Вообще, лучше изначально проинициировать в self; все директивы и потом в них уже дописывать, что блокируется.
Vipper222, https://login.vk.com - во Frame просится...
Да, прошу прощения, ошибочка была.\
У вас в CSP нет директивы frame-src, поэтому браузер инициирует её из default-src и при этом пишет, что заблокировано default-src, хотя реально блокируется в frame-src, как сказал samimages.
Директива была, но с ошибкой, сейчас всё исправил, большое спасибо.
Вот билдер есть - попробуйте http://cspisawesome.com/
---------- Добавлено 20.01.2015 в 13:11 ----------
В логах периодически появляется pagead2.googlesyndication.com - violated-directive: пустая... чего за глюк х/з
Это заходят из iOS или с браузеров под линухом. Также этот глюк ловлю, сейчас как раз работаю над тем, чтобы вообще отключать CSP под айосы и линукс.
---------- Добавлено 20.01.2015 в 13:39 ----------
* Установка заголовков Content-Security-Policy
*/
function addh_add_custom_headers( $headers ) {
if(!strpos($_SERVER['HTTP_USER_AGENT'],'Linux') && !strpos($_SERVER['HTTP_USER_AGENT'],'Mac'))
$headers[] = "Content-Security-Policy: политика без кавычек";
return $headers;
}
add_filter( 'addh_headers', 'addh_add_custom_headers', 10, 1 );
Кстати, вот так решил вопрос с неотображением на линуксе и маке под wordpress. Писать в functions.php
Плагин: https://wordpress.org/plugins/add-headers/
P.S. Кто знает, что это за хрень(и): api.retailrocket.ru, scan.botscanner.com (контроль качества трафика, но вот кто вызывает..), http://puppy.luxoft.com, http://www.acint.net (чей-то пиксель, как понимаю, разрешали?), dmg.digitaltarget.ru, http://advombat.ru, http://sync.madnet.ru, http://display.intencysrv.com
http://www.acint.net
Это счетчик нового кода Сапы.
P.S. Кто знает, что это за хрень(и): puppy.luxoft.com, sync.madnet.ru
Есть сайт madnet.ru, там сразу ясно кто это, в бан их.
www.luxoft.com - серьёзная контора, похоже это что-то из их софта, можно у Дмитрия Ерохина спросить :)
Это счетчик нового кода Сапы.
Самое интересное, согласно моим тикетам в площадки, его вызывают много рекламных сетей.
---------- Добавлено 21.01.2015 в 10:40 ----------
Есть сайт madnet.ru, там сразу ясно кто это, в бан их.
Вот не совсем понятно. С виду, довольно цивильно. Не могу понять, кто вызывает этот код, возможно, adlabs.
www.luxoft.com - серьёзная контора, похоже это что-то из их софта, можно у Дмитрия Ерохина спросить :)
Что-то всегда они у меня как Люксофт на слуху были, поэтому, подумал, что просто красивый клон сделали, потом уже посмотрел, что они так и называются.
Вот эти http://advombat.ru и http://display.intencysrv.com остаются сейчас самыми не понятными и часто запрашиваемыми. А кто такие - непонятно (
http://display.intencysrv.com остаются сейчас самыми не понятными и часто запрашиваемыми. А кто такие - непонятно (
У меня *.intencysrv.com включен с раздел frame-src. Разбирался с ним давно, уже не помню, что за зверь.