Попробуйте вставить линк на сайт, чтобы выбрать блокированные запросы. Используйте Firebug (http://www. Surfearner. Com) - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

356

big boy

22 февраля 2015, 20:21

#321

Не знаю, давали линк в теме или нет, но вот - https://cspbuilder.info/static/#/main/

С помощью него генерирую сейчас правила. Примерно за пол часа работы сервис собрал около 4000 левых запросов. Я в шоке.

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik

Стоит ли создавать сайт База 4000 каталогов За февраль

313

pavel419

22 февраля 2015, 20:28

#322

big boy, видел. А на кой вам левые запросы? Вы же собираете белый список а не черный)

Вот, типа. а потом еще , или вот так

Там надо допустить десятка два доменов, только во всех видах, с хттп и хттпС

А остальное всё лесом идет)

---------- Добавлено 23.02.2015 в 00:29 ----------

big boy, а в шоке вы будете, когда себе на сервак отчеты настроите))

Потому что там будет вот так:

---------- Добавлено 23.02.2015 в 00:30 ----------

Это за полдня набежало

@RuSeoBot (http://s419.ru/ruseobot/)- первый seo-бот в Twitter, а теперь - и канал в Telegram (http://s419.ru/servisy/pervyj-poiskovyj-seo-kanal-v-telegram/) Мой сайт про виртуальную реальность (http://vr419.ru/) Как правильно покупать на Алиэкспресс (http://4ali.ru/)

Просел доход на адсенс Сглаз или почему цена Задавайте вопросы про Drupal

356

big boy

22 февраля 2015, 22:46

#323

pavel419, на указанном мной сервисе есть отчеты, которые формируют блокированные запросы. Их за пол часа (ненужных) набралось более 4 000 штук. Так понятнее? :)

Кстати, рекомендую, ребят. Оно мне реально кучу времени сэкономило, не поленюсь еще раз линк вставить, да простят меня модеры: https://cspbuilder.info

Заносим их сгенерированный header на сайт.

Смотрим репорты, отмечаем то, что хотим оставить.

Получаем готовое правило для CSP любого вида.

Короче говоря, полуавтоматическая генерация CSP для домохозяек )))

3

Сколько стоит по вашему Avito, ЦИАН и 2ГИС 35cm.ru - SEO аудиты,

313

pavel419

22 февраля 2015, 22:59

#324

big boy, дак там и из тех постов, что я кидал, ее собрать можно)

Я перед этим тоже какой-то конструктор юзал, вот этот

Но потом посмотрел те примеры, они вполне меня устроили.

Ибо там надо прописывать какие-то хитрые директивы, чтоб пахали адсенс и РСЯ, потому и брал из постов.

Вобщем, пробуйте) Если что-то не будет работать, перечитывайте тему)

1

Key Collector - автоматизированная Продается сайт с мобильным Oliinviter - Пользователи сами

356

big boy

23 февраля 2015, 00:36

#325

Почему-то после настройки csp видео с тытрубы через <iframe><embed> работает, а через <object> не хочет. Настройки для youtube у object-src и frame-src совпадают.

Тогда почему один метод пашет, а другой нет?

В репортах пусто.

Re: Резкое падение позиций Резкое падение позиций в Autostart увидео в iframe

C

243

ctit ctit

23 февраля 2015, 05:33

#326

big boy:
Почему-то после настройки csp видео с тытрубы через <iframe><embed> работает, а через <object> не хочет. Настройки для youtube у object-src и frame-src совпадают.

Тогда почему один метод пашет, а другой нет?

В репортах пусто.

Аналогично. Поэтому пришлось в срочном порядке все видео переоформлять под <iframe>.

313

pavel419

23 февраля 2015, 06:20

#327

ctit, big boy, там есть домен у них, гуглвидео ком или как-то так.

Его еще добавить, он появляется в отчетах, и всё будет работать)

---------- Добавлено 23.02.2015 в 10:24 ----------

А вот, нашел:

pavel419:
Домен googlevideo.com редиректит на гугл, и пока не разрешил, не шло видео с ютюба на одном сайте. может будет кому полезно)

---------- Добавлено 23.02.2015 в 10:24 ----------

Только оно потом на многих сайтах возникало.

AnyTubes дорген Закрывать тизеры ноиндекс? Если Отвечать за читаемость текста,

356

big boy

23 февраля 2015, 08:46

#328

Разобрался с Youtube! Сейчас расскажу как.

На будущее всем: в репортах могут отображаться не все блокировки, иногда надо смотреть вручную. Для этого в Firefox есть расширение Firebug > жмём F12 > Консоль > там будут ошибки вида:

Content Security Policy: Параметры страницы заблокировали загрузку ресурса... и дальше правило в котором не разрешен указанный ресурс.

В моём случае блокировались адреса: ytimg.com, googlevideo.com и doubleclick.net

Добавил его в object-src (помимо всего прочего):

object-src https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com http://*.youtube.com ytimg.com *.ytimg.com http://ytimg.com https://ytimg.com https://*.ytimg.com googlevideo.com *.googlevideo.com https://googlevideo.com https://*.googlevideo.com doubleclick.net *.doubleclick.net https://doubleclick.net https://*.doubleclick.net

Теперь ролики с Youtube работают в любом виде.

И вопрос. Нужно ли дублировать адреса c http и без? https понятно, что надо, а такая запись:

ytimg.com

и

http://ytimg.com

не является ли дубляжом?

---------- Добавлено 23.02.2015 в 13:00 ----------

pavel419, всё это не с ноября началось, а уже несколько лет длится. Просто начали обращать внимание недавно.

В отчетах у меня тоже вроде как всплеск в ноябре, но на самом деле это не так. Дело в том, что редиски тоже не тупые и постоянно меняют домены.

Текущая пачка, например pozitivrekl.ru, chinarestaurantglencarbon.com, jquerys.ru, musicalert.ru, quick-searcher.net и другие получили своё распространение именно с ноября.

По сабжу, ребята вообще страх потеряли - http://www.surfearner.com

мы будем транслировать ваши рекламные баннеры прямо в браузеры пользователей

---------- Добавлено 23.02.2015 в 13:12 ----------

Кто-нибудь пробовал писать Платону с проблемными сайтами после установки CSP? Позиции возвращали?

---------- Добавлено 23.02.2015 в 13:22 ----------

Мой промежуточный результат после установки CSP (около 8-9 часов после установки).

Adsense:

CTR вырос на ~30%
CPM упал на ~25%
CPC упал с $0,05 до $0,03

Посещаемость по ливеру - сегодня +900 посетителей и +2000 просмотров, хотя понедельник и обычно идёт спад с такими же показателями. Возможно стояли редиректы, которые CSP благополучно порезал.

Осталось докрутить для адсенса. Мне кажется, что режу что-то нужное, но еще не нащупал.

1

Просел доход на адсенс Резкое падение позиций в Как разделить трафик на

C

243

ctit ctit

23 февраля 2015, 09:43

#329

big boy:
На будущее всем: в репортах могут отображаться не все блокировки, иногда надо смотреть вручную. Для этого в Firefox есть расширение Firebug > жмём F12 > Консоль > там будут ошибки вида:

А я пришел к выводу, что лучший дебагер это Chrom. Там вообще все тонкости указываются. Но Firebug тоже поначалу пользовался, хорошая вещь.

big boy:

И вопрос. Нужно ли дублировать адреса c http и без? https понятно, что надо, а такая запись:

На всякий случай для всех доменов прописал https.

Сейчас Яндекс вроде уже начинает реагировать на подмену рекламы. Хотя по последним данным, это был баг.

Надо знать как сделать Апдейт поисковой базы 13.04.2010 Может ли слетать https

313

pavel419

23 февраля 2015, 09:46

#330

big boy:
pavel419, всё это не с ноября началось, а уже несколько лет длится. Просто начали обращать внимание недавно.

Да в том и фишка, что таких массовых переходов на левые сайты я раньше не замечал. Видимо, именно сейчас максимально активизировались.

Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Настройка CSP - Content Security Policy