Настройка CSP - Content Security Policy

Воспользуйтесь этим способом /ru/forum/comment/13492499

Ilekor, за способ спасибо, воспользовался им в первую очередь.

Но у меня еще стоит поиск яндекса и яндекс карты, а я еще не до конца врубился, что дописывать. Ковырялся долго, потом нашел пример Ladycharm

Устанавливаете FireBug в браузер, устанавливаете мой способ на сайт, заходите на страницу сайта и смотрите в консоль FireBug, смотрите какие домены заблочило и добавляйте их, например

Показывает заблоченый домен/

Мы видим, что домен https://s.ytimg.com и он не вредоносный а ютубовский, блокируется в директиве object-src вот в эту директиву вставляем вот так https://*.ytimg.com *.ytimg.com ytimg.com

да и думаю мой код

foreach (array("Content-Security-Policy", "X-Content-Security-Policy", "X-WebKit-CSP") as $csp_type)

{

    header($csp_type . ": " . $csp_def);

} 

стоит заменить на

header("Content-Security-Policy: " . $csp_def); 

а куда писать mc.yandex.ru? Просится в default-src

502 ошибка - это ошибка синтаксиса .htaccess. Из того примера надо переносы строк надо убирать и всё вытягивать в одну строку.

Или добавить \ в конце строк - это для htaccess означает "продолжение на следующей строке".

Вот так будет тот пример выглядеть в формате для htaccess, и намного удобнее править, чем когда всё вытянуто в одну строку:

<ifModule mod_headers.c>
Header set Content-Security-Policy "\
default-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU;\
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.ВАШСАЙТ.RU ВАШСАЙТ.RU\
    *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st\
    *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net\
    https://*.googleapis.com https://*.gstatic.com https://gstatic.com\
    https://*.googlesyndication.com https://api-maps.yandex.ru;\
frame-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU\
    *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st\
    *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net\
    youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru\
    https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com\
    https://*.googleapis.com https://*.gstatic.com https://gstatic.com\
    https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;\
connect-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU\
    mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com;\
style-src 'self' 'unsafe-inline' 'unsafe-eval' *.ВАШСАЙТ.RU ВАШСАЙТ.RU\
    *.googleapis.com *.gstatic.com *.yandex.ru\
    https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;\
font-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU\
    *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com\
    https://*.gstatic.com https://*.yandex.ru data:;\
img-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU *.yandex.net *.yandex.ru yandex.ru yandex.st\
    *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com\
    https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com\
    https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data:;\
object-src 'self' *.gstatic.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;\
"
</IfModule>

Конструкция <ifModule mod_headers.c>... </IfModule> проверяет, что у Apache подключен mod_headers.

Внутри этой конструкции можно отдавать любые заголовки по формату: Header set НазваниеЗаголовка "значениеЗаголовка", значение заголовка должно быть в "".

PS: Но это к самой CSP не относится - это синтаксис конфигурационных файлов .htaccess и httpd.conf веб-сервера Apache.. CSP - просто один из http-заголовков, который надо отдавать.

После анализа отчетов csp пришлось избавится от одной рекламной сети, которая тащила за собой порядка 10 других скриптов. Возможно именно это не нравится Яндексу?

На счет 2gis.ru. Этот malware пытается даже в переводчик залесть:

https://apps.2gis.ru,source-file:https://translate.googleapis.com

Насчет imrk.net. Постоянно на серче вылазит. Именно поэтому я его и оставлял все время.

см. внизу картинки. Реклама от adsense

Второй момент. При переходе с Яндекса возникает вот что:

blocked-uri:http://c.imrk.net,source-file:data

Что такое data?

И в заключение.

blocked-uri:http://imrk.net,source-file:https://translate.googleapis.com

Ясно, что в переводчике нет никакой рекламы. Следовательно, imrk.net - просто собиратель cookies?

www.googleadservices.com - попадался кому-нибудь?

pipe.skype.com - видел у Ladycharm. Для чего он нужен?

---------- Добавлено 11.02.2015 в 17:03 ----------

ctit, по поводу imrk.net. В репортах есть такое

"blocked-uri":"data:text/javascript;base64

и дальше код идет.

Если его расшифровать, то получится

var PStid="9739",PSsize="rmred";
(function(){if(-1=="yandex.ru vk.com google.ru google.com mail.ru youtube.com facebook.com odnoklassniki.ru wikipedia.org livejournal.com twitter.com rbc.ru sberbank.ru rambler.ru lenta.ru habrahabr.ru webmoney.ru ria.ru kinopoisk.ru instagram.com gismeteo.ru blogspot.ru hh.ru vesti.ru sape.ru searchengines.guru ok.ru pr-cy.ru gazeta.ru ya.ru drom.ru yahoo.com echo.msk.ru yadi.sk lifenews.ru wmmail.ru miralinks.ru microsoft.com nic.ru ntv.ru interfax.ru games.mail.ru lenta.ru rg.ru drive2.ru".split(" ").indexOf(location.host)){var a=document.createElement("script");
a.setAttribute("type","text/javascript");a.setAttribute("src","http://c.imrk.net/tag/1.js");document.body.appendChild(a)}})();

imrk.net - это iMarker: http://imarker.ru/

мегашпионская технология, которую ставят ПРОВАЙДЕРЫ, чтобы следить за вами и получать доп. профит. А ваши интересы сливаются рекламодателям, ну или кому нужно. Т.е. уже не только вирусные дополнения в браузерах, но и провайдеры начали промышлять этой дрянью. Еще из таких плохих ребят - vmet.ro.

VPN спасёт этот мир.

P.S. Из хороших новостей по этой теме: «Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи» http://www.opennet.ru/opennews/art.shtml?num=41655

Он нужен для adsense.

"blocked-uri":"data:text/javascript;base64

Да, смотрел код тоже. Вроде как счетчик, собирающий переходы.