Настроил CSP на 9 сайтах, где есть адсенс - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

115

yda4huk

19 февраля 2015, 08:15

#271

После настройки CSP уменьшилось количество показов блоков Гугл.Адсенс примерно на 10%

Может у кого есть полный список доменов которые нужно открыть для адсенса?

313

pavel419

19 февраля 2015, 10:08

#272

yda4huk, уменьшилось, немного. Но не значит, что это плохо.

Оптимизайка, этот суперфиш задрал.

Но сейчас левые переходы на всех трех сайтах пропали, ура)

Продолжим эксперимент.

---------- Добавлено 19.02.2015 в 14:16 ----------

И, кстати, кажется я был не прав про посещаемость.

Эта хрень как-будто есть на более мелких сайтах.

Поставлю на несколько штук, послежу...

---------- Добавлено 19.02.2015 в 14:27 ----------

Да-да-да, оно есть везде походу, где есть адсенс.

Кстати, сейчас поставлю на пару сайтов без адсенса, не удивлюсь, если оно будет и там🍿

Блин, я сдохну всё это настраивать)

---------- Добавлено 19.02.2015 в 14:31 ----------

Так и есть, оно просто есть на всех сайтах.

Даже если там нет никакой рекламы и трафа сто человек в сутки!

---------- Добавлено 19.02.2015 в 14:34 ----------

Просто на сайтах с маленькой посещаемостью не будет переходов, потому что там кликать не кому по трешу, но при проверке оказывается вот такое, это я минуту назад поставил, никакой рекламы нет вообще:

@RuSeoBot (http://s419.ru/ruseobot/)- первый seo-бот в Twitter, а теперь - и канал в Telegram (http://s419.ru/servisy/pervyj-poiskovyj-seo-kanal-v-telegram/) Мой сайт про виртуальную реальность (http://vr419.ru/) Как правильно покупать на Алиэкспресс (http://4ali.ru/)

Просел доход на адсенс Google AdSense FAQ - Liveinternet скачки посетителей

78

Saacy

19 февраля 2015, 11:06

#273

Настроил CSP на 9 сайтах на разных языках: ru, en, fr, de, es, pt. Посещаемость от 1000 до 6000 уников в сутки.

Переходы на левые сайты LiveInternet больше не показывает, кроме "quick-searcher.net". Не знаете что это?

Один сайт был за CloudFlare и я столкнулся с проблемой длины заголовков (макс. 8кб). Пришлось забить на дублирование X-Content-Security-Policy, X-WebKit-CSP для него.

Вопрос с трафом интересен. 3-7кб заголовков это довольно много. Возможно придётся всё оптимизировать в default-src...

Еще, не смотря на разрешения, иногда в логах блокировки вижу syndication.twitter.com и pagead2.googlesyndication.com.

Завтра отпишусь по изменениям статистики. И, если не будет просадки по рекламе, поставлю на сайт с аудиторией 100к.

1

Ищу доноров RU/EN/FR/DE/ES/PT (/ru/forum/888035)

Переходы с сайта на SEO-продвижение сайтов "под ключ" Просел доход на адсенс

313

pavel419

19 февраля 2015, 11:10

#274

Saacy:
Еще, не смотря на разрешения, иногда в логах блокировки вижу syndication.twitter.com и pagead2.googlesyndication.com.

Да, почему-то бывает у них.

---------- Добавлено 19.02.2015 в 15:12 ----------

Разобрался, что такое метабар, это яндекс оказывается.

Вопрос, как он ставится на моих сайтах? Я подозреваю, что через какой-нибудь яндекс браузер, или другое их ПО. А вы говорите, рекламные сети код подменяют...

Сам яндекс этого и не скрывает:

---------- Добавлено 19.02.2015 в 16:30 ----------

Прикрутил еще на десятке относительно посещаемых сайтов, так эффект будет виднее. Левых переходов нет, зато по своему банеру за сегодня уже нажмакали больше, чем за вчера:

Совпадение? Не думаю)))

А народ продолжает весело долбиться, и на первом месте - яндекс со своим "советником")

---------- Добавлено 19.02.2015 в 16:32 ----------

Кстати, этот советник скорее всего, даже не распространяется, он вроде как в новый яндекс браузер встроен, вот он и лезет на все сайты подряд...

3

Повышение CTR и снижение яндекс советник - как Беда wap рынка. Гугл

313

pavel419

19 февраля 2015, 13:19

#275

Надеюсь, не сочтут за спам.

Кому не жалко - вот написал пост про всё это дело, ретвит, репост, лайк и прочее приветствуются)

Народ должен знать, что происходит!

N

170

nikdiv

19 февраля 2015, 14:06

#276

Я окончательно запутался, когда случайно понял, что ничего и не настроил оказывается.

Если убрать из script-src вот это 'unsafe-eval' 'unsafe-inline', то ломается практически всё, в том числе и адсенс.

Где-то в прошлой теме прочитал, что это плохие атрибуты, из за них ничего и не блокируется. На деле так и получается, если их убрать перестаёт всё работать.

Но левых переходов в статистике нет, но их и так там мало было по сравнению с хламом в отчётах csp.

Извиняюсь если было. Как заразить свой браузер? Проверить хочется.

Вредители ad-tizer.net Влияние блокировки "Яндекс советника" Резкое падение позиций в

313

pavel419

19 февраля 2015, 14:12

#277

nikdiv, так если переходы пропали + в отчетах вы видите, что к вам ломятся, то всё работает.

Заразить? Да за ради Бога, лучшие плагины для вас:

dm2_jquerys_ru

Надеюсь, не сочтут за ссылку на спам)

---------- Добавлено 19.02.2015 в 18:14 ----------

nikdiv:
Но левых переходов в статистике нет, но их и так там мало было по сравнению с хламом в отчётах csp.

Их мало, потому что кликает как и по адсенсу, скажем, 1-2%

Потому на сайтах с малым трафом это вообще не заметно, но это не значит, что там этого нет.

Как сейчас проавильно продвигать Просел доход на адсенс Сегодня упала цена за

N

170

nikdiv

19 февраля 2015, 14:18

#278

pavel419:
nikdiv
dm2_jquerys_ru

Не скачивается ничего.

313

pavel419

19 февраля 2015, 14:23

#279

nikdiv, слеши уберите, там сайт с плагином этим, и кнопка "загрузить", я сам правда не скачивал)

Точнее, подчеркивание на точки заменить

N

170

nikdiv

19 февраля 2015, 14:24

#280

Да понятно. Кнопка на сайте не работает. Ничего не происходит.

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

Что такое Power BI и зачем это нужно бизнесу

Настройка CSP - Content Security Policy