- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Alena1980, Поищите в своем - script, REQUEST или GLOBALS - думается с десяток вхождений найдется...
Не поняла, какие вхождения?)
Кто-нибудь встречался с таким и вредит ли то рекламе? Насколько понял, ajax-запрос с пустыми данными (так делают старые ajax для проверки связи) посылается adsense. Отчеты просто забиты этими сообщениями.
Uncaught SecurityError: Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Sandbox access violation: Blocked a frame at "http://googleads.g.doubleclick.net" from accessing a frame at "null". The frame being accessed is sandboxed and lacks the "allow-same-origin" flag.
googleads.g.doubleclick.net - у меня вроде проскакивает раз от раза, но не постоянно.
На рекламе особенно не сказывается, т.е. не могу сказать, что стало меньше кликов... все в пределах нормы, что ли.
Подскажите пожалуйста куда нужно вставлять домен, который я хочу разрешить для доступа?
Вот запись которую использую в конфиге:
#Header set Content-Security-Policy-Report-Only
<ifModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.facebook.com https://*.facebook.com *.facebook.net *.tynt.com *.yandex.net https://site.yandex.net https://yastatic.net yastatic.net an.yandex.ru awaps.yandex.ru vk.com https://vk.com mc.yandex.ru clck.yandex.ru yandex.st https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' https://*.googleapis.com www.youtube.com https://www.youtube.com *.gstatic.com; frame-src 'self' *.facebook.com https://*.facebook.com bcp.crwdcntrl.net yastatic.net awaps.yandex.ru vk.com https://vk.com https://login.vk.com yandex.st www.youtube.com https://www.youtube.com *.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com *.google.com mc.yandex.ru www.youtube.com; connect-src 'self' mc.yandex.ru www.google-analytics.com https://www.google-analytics.com;"
</IfModule>
Серегей13, видимо вот так:
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.ВАШСАЙТ.RU ВАШСАЙТ.RU; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.facebook.com https://*.facebook.com *.facebook.net *.tynt.com *.yandex.net https://site.yandex.net https://yastatic.net yastatic.net an.yandex.ru awaps.yandex.ru vk.com https://vk.com mc.yandex.ru clck.yandex.ru yandex.st https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' https://*.googleapis.com www.youtube.com https://www.youtube.com *.gstatic.com; frame-src 'self' *.facebook.com https://*.facebook.com bcp.crwdcntrl.net yastatic.net awaps.yandex.ru vk.com https://vk.com https://login.vk.com yandex.st www.youtube.com https://www.youtube.com *.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com *.google.com mc.yandex.ru www.youtube.com; connect-src 'self' mc.yandex.ru www.google-analytics.com https://www.google-analytics.com;"
</IfModule>
Помогите адаптировать Content-Security-Policy под UCOZ
Какой код нужно прописать и где? Куда вписать сайты, на которые не должны переходить пользователи?? Заранее спасибо!!
Кто уже поставил, проверьте у себя скачиваются ли файлы?
Пример:
после установок правил перестали скачиваться файлы (ошибка 502). Движок dle. Ошибка есть в IE, опере 12, может и в других. В хроме всё нормально.
Всё работает без этого:
object-src 'self' *.site.ru site.ru *.gstatic.com *.yandex.net yandex.net *.google.com *.mail.ru mail.ru google.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com *.vk.com vk.com https://an.yandex.ru yandex.ru *.yandex.ru;
Подскажите пожалуйста куда нужно вставлять домен, который я хочу разрешить для доступа?
Вот запись которую использую в конфиге:
Я переписала вашу CSP в более читабельный вид:
Если вставите её в .htaccess по copy-paste, сохранив все " и \ - она будет работать точно так же, но вносить изменения намного удобнее.Сразу видно, что вашей CSP используются 4 директивы (не считая default-src, которая больше для "своих доменов"):
connect-src - разрешает обращаться к домену методом "connect"
frame-src - разрешает загружать фреймы с src= перечисленным доменам
object-src - разрешает обращаться к указанным доменам из тэга <object>(загружать видео)
script-src - разрешает загружать скрипты с перечисленных доменов
Домен надо добавлять в те директивы, в которых надо открыть доступ для него. Например, если с этого домена вставляются картинки - надо добавить директиву img-src и прописать домен туда. Например:
разрешит загружать картинки со всех поддоменов mail.ru и yandex.net.
Кстати, ваша CSP не позволяет вставлять картинки, кроме как с вашего же сайта - нет директивы img-src, значит будут использоваться правила по-умолчанию из default-src - а там только 'self' разрешён.
Куда вписать сайты, на которые не должны переходить пользователи??
Кто уже поставил, проверьте у себя скачиваются ли файлы?
Скачиваются, проверила в Opera 10, FF 13, Chrome 39.0 на по ссылках типа <a href='/file.rar'>скачать</a> и открываются в браузере для просмотра по ссылкам <a href='/file.doc'>скачать</a>
Всё работает без этого:
object-src 'self' *.site.ru site.ru *.gstatic.com *.yandex.net yandex.net *.google.com *.mail.ru mail.ru google.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com *.vk.com vk.com https://an.yandex.ru yandex.ru *.yandex.ru;
Антилич какой-нибудь установлен? Ошибки яваскрипт в консоли браузера есть?
На ссылки CSP не действует, но если скачивание делается на яваскрипте/flash - там могут использоваться методы, попадающие под ограничение в connect-src или object-src.
Если мешает CSP - будут видны её ошибки в консоли браузера.
Антилич какой-нибудь установлен? Ошибки яваскрипт в консоли браузера есть?
На ссылки CSP не действует, но если скачивание делается на яваскрипте/flash - там могут использоваться методы, попадающие под ограничение в connect-src или object-src
Да, в dle скачивание идёт через файл download.php
Если можно, по-простому скажите, пожалуйста, без object-src ничего страшного? :) Мне важно только adsense и рся.
Помогите адаптировать Content-Security-Policy под UCOZ
А там есть доступы к php или .htaccess?
---------- Добавлено 18.02.2015 в 04:10 ----------
без object-src ничего страшного
Пока вроде бы ничего... но и живем не последний день. ИМХО проблему на берегу надо решать с сайтом.