- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
А что за superfish блокирует CSP на всех моих сайтах? Кто это вообще и что с ними делать?
У меня он в фильтре из-за говно-рекламы.
Кто сотрудничает с партнёркой smaclick.com, обратите внимание, что со вчерашнего дня они изменили код скрипта и тайком стали показывать на сайтах партнёров рекламу от других сетей - adnow.com, ladyclick.ru, wbunder.com, adxxx.com.
У кого установлена Content Security Policy - она им это делать не даёт. У кого нет CSP - смотрите чтобы не появилась adult и шок реклама, так как adxxx.com это партнёрка для "взрослых"
На два дня временно отключил CSP. Результата пока неутешительные - доход с AdSense вырос при падении трафика. Пока набираю статистику, возможно, случайность.
На два дня временно отключил CSP. Результата пока неутешительные - доход с AdSense вырос при падении трафика. Пока набираю статистику, возможно, случайность.
Статистика наблюдения 50-ти с лишним подопечных сайтов с октября прошлого года показывает с точностью до наоборот.
Вам распространители malware доплачивают за такие посты?
Вам распространители malware доплачивают за такие посты?
Да, тоже хотелось бы посмеяться, но не до этого. Почему, КАЖДЫЙ раз при отключении CSP растет доход? В прошлом году меня убедили, что это случайность, но подозрения так и остались.
С другой стороны, если это какой-то псевдоэффект (так называемый отложенный доход), то на нем надо и нужно зарабатывать. Именно поэтому начну раз в неделю отключать CSP на несколько дней, и если каждый раз доход будет увеличиваться - я только "за".
Почему, КАЖДЫЙ раз при отключении CSP растет доход?
Если вы про эту вашу CSP - всё правильно, при её отключении доход однозначно будет расти.
Чтобы ваша CSP не уменьшала доход резала объявления Адсенс, вам надо:
1. добавить в директивы:
* Адсенс(как и Директ) не придерживаются SOP (Same Origin Policy) поэтому надо дублировать все домены с https: даже на http:-сайте.2. убрать из CSP "вредоносов" типа imrk.net и *.4zw.pw
3. убрать 'unsafe-eval' из директивы frame-src - такого атрибута там не бывает.
Я же 2 месяца назад предлагала помочь всё грамотно настроить и перестать страдать фигнёй.
В прошлом году меня убедили, что это случайность, но подозрения так и остались.
Как убеждали, с помощью утюга на спину?
С другой стороны, если это какой-то псевдоэффект
Единственный замеченный "псеводоэффект" - отчёты о блокировках продолжают сыпаться ещё 2-3 недели после отключения CSP.
То есть, некоторые провайдеры кэшируют заголовки и CSP продолжает работать некотрое время после отключения.
Ladycharm, а есть какой-то заведомо правильный конфиг под сайты где крутится только реклама Адсенс и ЯД ?
В теме очень много выкладывали конфигов, но их правильность вызывает сомнения.
У меня вроде нет просадки дохода при включении CSP, но глядя на безумное количество блокируемых URL, невольно думаешь, а не блокирую ли я что-то нужное :)))
Ladycharm, а есть какой-то заведомо правильный конфиг под сайты где крутится только реклама Адсенс и ЯД?
Есть. Что у вас ещё кроме них используется:
- подключение jquery с ajax.googleapis или с самого jquery.org
- форум (на него картинки вставляют отовсюду и ролики с Ютуба/video.mail.ru/vimeo)
- скрипт комментариев типа disqus
- плагины wordpress типа лайтбокс, yost и тп - тоже тянут скрипты со своих доменов
- админка Вордпресса тянет картинки из репозитория *.w.org
- картинка ТИЦ
- Яндекс-метрика, Google-аналитика
- поиск от Яндекса/Google на сайте
- счетчик li.ru/top.mail.ru и тп
- виджеты vk.com/ok.ru/информеры погоды, кнопки share и тп
И, как писала выше, Google и Яндекс не придерживаются SOP (Same Origin Policy) поэтому лучше продублировать все их домены с https: даже на http:-сайте.
В теме очень много выкладывали конфигов, но их правильность вызывает сомнения.У меня вроде нет просадки дохода при включении CSP,...
"Правильность" правил CSP можно оценить только по анализу CSP отчётов.
Просадки дохода может и не быть, но может резаться что-то из скриптов юзабилити сайта, картинок или стилей.
но глядя на безумное количество блокируемых URL, невольно думаешь, а не блокирую ли я что-то нужное :)))
Их, действительно, безумное количество. На некоторых типах сайтов - до 20% зараженных браузеров, по 15000 заблокированных url в сутки.
Чтобы ваша CSP не уменьшала доход резала объявления Адсенс, вам надо:
1. добавить в директивы:
* Адсенс(как и Директ) не придерживаются SOP (Same Origin Policy) поэтому надо дублировать все домены с https: даже на http:-сайте.
Уточню, что в секции img-src, добавить еще http://*.doubleclick.net и http://*.googleadservices.com, http://*.googlesyndication.com поскольку есть запросы с http://cm.g.doubleclick.net и http://www.googleadservices.com, http://pagead2.googlesyndication.com
Короче для Adsense видимо, всегда надо дублировать http и https
---------- Добавлено 09.02.2015 в 10:05 ----------
2. убрать из CSP "вредоносов" типа imrk.net и *.4zw.pw
Уже писал, что эти домены были включены в секцию, поскольку их вызывали скрипты рекламных сетей:
blocked-uri:http://imrk.net
source-file:http://sync.republer.com
Например, для сети republer.com очень частые гости:
blocked-uri:http://ad.dumedia.ru,source-file:http://sync.republer.com
blocked-uri:http://rtb.rtcdn.ru,source-file:http://sync.republer.com
Аналогично и для:
blocked-uri:http://ads.yahoo.com,source-file:http://js.revsci.net
В итоге:
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self';
script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.gstatic.com https://*.gstatic.com http://*.googleapis.com https://*.googleapis.com https://*.google.com http://*.google.com http://www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com https://*.doubleclick.net http://*.doubleclick.net;
object-src 'self' http://*.gstatic.com https://*.gstatic.com http://*.googleapis.com https://*.googleapis.com http://*.googlevideo.com http://googleads.g.doubleclick.net https://googleads.g.doubleclick.net;
style-src 'self' 'unsafe-inline' http://*.googleapis.com https://*.googleapis.com http://*.gstatic.com https://*.gstatic.com;
img-src http://www.googleadservices.com https://www.googleadservices.com https://*.2mdn.net http://*.doubleclick.net https://*.doubleclick.net https://*.googleapis.com http://*.googlesyndication.com https://*.googlesyndication.com https://*.gstatic.com;
frame-src 'self' http://*.hubrus.com http://*.googlesyndication.com https://*.googlesyndication.com https://*.googleadservices.com http://*.doubleclick.net https://*.doubleclick.net;
font-src 'self' https://*.googleapis.com https://*.gstatic.com;
connect-src 'self' http://*.googlevideo.com"
</IfModule>
Включил CSP при такой настройке. По стате уже сейчас доход упал в два раза.
Самое интересное, что мне начало выдавать вот такие ошибки:
Походу, не нравится браузеру, когда http или https:// указан явно. Chrome последней версии.
---------- Добавлено 09.02.2015 в 13:00 ----------
Не, все нормально. Я просто его разбил по группам, а оно, собака, инлайном хочет, чтобы было прописано.