- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Uncaught SecurityError: Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Sandbox access violation: Blocked a frame at "http://googleads.g.doubleclick.net" from accessing a frame at "null". The frame being accessed is sandboxed and lacks the "allow-same-origin" flag.
Опять стали вылазить, причем реклама от adsense отображается. Кто-то разобрался с этим?
ctit, таких ошибок не видел, по крайней мере ни в отчетах, ни в консоли.
Итак, почти 14 часов прошло с установки CSP. Доход adsense упал.
adhigh.net - чей это зверь? Просится часто. Такие вариации, как ft7-de.adhigh.net, ft8-de.adhigh.net, px.adhigh.net и тд.
Почему-то после настройки csp видео с тытрубы через <iframe><embed> работает, а через <object> не хочет. Настройки для youtube у object-src и frame-src совпадают.
Тогда почему один метод пашет, а другой нет?
В репортах пусто.
Настройки Ютуба под iframe и object - совершенно разные и по доменам и по директивам CSP. И В репортах не должно быть пусто.
Пока ясно одно - часть показов сторонних сетей гугл крутит так, что они будут резаться CSP. Это однозначно должно снижать доходность AdSense.
Резаться они не будут, тк Андсенс показывает их в iframe. Скрипты внутри iframe вы не сможете резать своей CSP.
В общем у меня ситуация следующая.
Если прописывать script-src 'unsafe-inline' 'unsafe-eval' - сайт работает нормально, но в этом нет смысла с точки зрения цели внедрения CSP.
Если убрать 'unsafe-inline' 'unsafe-eval', то наверное так безопаснее, зато сайт перестаёт работать. Не загружаются родные скрипты, шаблоны рвуться, функционал не работает (тот же wysiwyg глючит).
Как быть?
Если прописывать script-src 'unsafe-inline' 'unsafe-eval' - сайт работает нормально, но в этом нет смысла с точки зрения цели внедрения CSP.
Почему нет смысла? Левые переходы пропали, стало быть, смысл есть.
У меня они прописаны.
Резаться они не будут, тк Андсенс показывает их в iframe. Скрипты внутри iframe вы не сможете резать своей CSP.
Это не так. Как минимум, часть показов сторонних сетей адсенс показывает не в iframe. И эти показы режутся CSP. При чем, это дорогие показы (ретаргетинг). Сколько их и какой процент дохода дают эти показы - неизвестно. Но то, что они точно есть - это факт. Если у вас включен CSP, просто обратите внимание, что иногда блоки адсенса пустые. Когда я полез смотреть почему он не показывается, то там был код сторонней сети и этот код был подгружен гуглем.
Для себя вижу такой вариант - собрать список доменов сторонних сетей и всё это впихнуть в исключения CSP (хотя-бы основные сети).
Итак, почти 14 часов прошло с установки CSP. Доход adsense упал.
Осталось докрутить для адсенса. Мне кажется, что режу что-то нужное, но еще не нащупал.
Уберите из CSP ваш домен и покажите в топике или в личку.
adhigh.net - чей это зверь? Просится часто. Такие вариации, как ft7-de.adhigh.net, ft8-de.adhigh.net, px.adhigh.net и тд.
Это ребята из getintent.ru, RTB-сеть
И вопрос. Нужно ли дублировать адреса c http и без? https понятно, что надо, а такая запись:
ytimg.com
и
http://ytimg.com
не является ли дубляжом?
Является дубляжом, но это не ошибка - работать будет. Домен без протокола считается с http://
Если убрать 'unsafe-inline' 'unsafe-eval', то наверное так безопаснее, зато сайт перестаёт работать. Не загружаются родные скрипты, шаблоны рвуться, функционал не работает (тот же wysiwyg глючит).
Как быть?
Прописывайте 'unsafe-inline' 'unsafe-eval' в директиве script-src и 'unsafe-inline' в style-src.
unsafe-inline - используют Директ и Адсенс, и скорее всего - ваш сайт (onClick='' в тэгах)
unsafe-eval - используют Директ и Метрика.
Обойтись без 'unsafe-inline' и 'unsafe-eval' можно только на сайте, где нет рекламы, например, сайтах-визитках организаций.
---------- Добавлено 23.02.2015 в 19:40 ----------
Это не так. Как минимум, часть показов сторонних сетей адсенс показывает не в iframe. И эти показы режутся CSP.
Почему нет смысла? Левые переходы пропали, стало быть, смысл есть.
У меня они прописаны.
У меня всё на месте осталось, хотя сегодня целый день с CSP:
Вот мои правила:
header("Content-Security-Policy:default-src
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ;
script-src
'unsafe-inline'
'unsafe-eval'
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
*.adeasy.ru
adeasy.ru
am15.net
*.am15.net
*.100im.net
100im.net
cityads.ru
*.cityads.ru
ads.actionteaser.ru
vk.com
*.vk.com
https://vk.com
https://*.vk.com
vkontakte.ru
*.vkontakte.ru
https://vkontakte.ru
https://*.vkontakte.ru
adforce.ru
*.adforce.ru
*.yandex.ru
yandex.ru
youtube.com
*.youtube.com
https://youtube.com
https://*.youtube.com
https://*.googleapis.com
https://www.google.ru
*.google-analytics.com
google-analytics.com
https://google-analytics.com
https://*.google-analytics.com
googlesyndication.com
*.googlesyndication.com
https://*.googlesyndication.com
advapi.ru
*.advapi.ru
https://advapi.ru
https://*.advapi.ru
*.google.ru
google.ru
https://google.ru
https://*.google.ru
google.com
*.google.com
https://google.com
https://*.google.com
*.gstatic.com
*.googleapis.com
doubleclick.net
*.doubleclick.net
https://doubleclick.net
https://*.doubleclick.net;
object-src
'self'
'unsafe-inline'
'unsafe-eval'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
*.cityads.ru
an.yandex.ru
https://an.yandex.ru
https://youtube.ru
https://youtube.com
https://*.youtube.ru
https://*.youtube.com
*.youtube.com
ytimg.com
*.ytimg.com
ytimg.com
https://ytimg.com
https://*.ytimg.com
googlevideo.com
*.googlevideo.com
https://googlevideo.com
https://*.googlevideo.com
*.googleapis.com
googleapis.com
https://*.googleapis.com
https://googleapis.com
gstatic.com
*.gstatic.com
https://*.gstatic.com
doubleclick.net
*.doubleclick.net
https://doubleclick.net
https://*.doubleclick.net
advapi.ru
*.advapi.ru
https://advapi.ru
https://*.advapi.ru
*.twitch.tv
macromedia.com
*.macromedia.com
adobe.com
*.adobe.com;
frame-src
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
googleads.g.doubleclick.net
*.doubleclick.net
https://doubleclick.net
https://*.doubleclick.net
*.am15.net
am15.net
vk.com
*.vk.com
https://*.vk.com
https://vk.com
google.ru
*.google.ru
https://googleads.g.doubleclick.net
https://youtube.ru
https://youtube.com
https://*.youtube.ru
https://*.youtube.com
*.youtube.com
*.youtube.ru
*.1tv.ru
googlesyndication.com
*.googlesyndication.com
https://googlesyndication.com
https://*.googlesyndication.com
advapi.ru
*.advapi.ru
https://advapi.ru
https://*.advapi.ru;
connect-src
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
*.googleapis.com
*.google-analytics.com
*.yandex.ru
yandex.ru;
font-src
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
https://fonts.gstatic.com
fonts.googleapis.com
https://fonts.googleapis.com;
img-src
'self'
data:
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
vk.com
counter.yadro.ru
*.adeasy.ru
https://vk.com
*.adsniper.ru
*.kavanga.ru
*.bubblesmedia.ru
*.cityads.ru
*.actionteaser.ru
cm.g.doubleclick.net
doubleclick.net
*.doubleclick.net
google-analytics.com
*.google-analytics.com
*.googlesyndication.com
https://*.googlesyndication.com
https://login.vk.com
https://*.google.com
https://google.com
cityads.ru
*.cityads.ru
adobe.com
*.adobe.com
*.yandex.ru
yandex.ru
*.am15.net
am15.net
*.youtube.com
youtube.com;
media-src
'self'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
youtube.com
*.youtube.com
https://youtube.com
https://*.youtube.com;
style-src
'self'
'unsafe-inline'
'unsafe-eval'
*.МОЙСАЙТ.РУ
МОЙСАЙТ.РУ
googleapis.com
*.googleapis.com
https://*.googleapis.com
*.youtube.com
youtube.com
;");
Может дело в том, что не в .htaccess вставляю, а в php (в index.php CMS)?
big boy, в каком месте. заголовки должны отправляться до первого вывода. Если есть доступ к .htaccess то стовьте там. И два - в одну строку должно быть все
KGB
1 - заголовки выводятся, проверял, вставляю их в самое начало index.php
2 - выложил так, чтобы читалось удобнее на форуме, вам лично могу портянку в строку прислать
Короче, спасибо Кэп ;)
Сунул в htaccess, посмотрю на результат.
---------- Добавлено 24.02.2015 в 00:58 ----------
Вдогонку, что это за домены, подскажите:
imrk.net
whisla.com
upstats.ru
rtcdn.ru
bidswitch.net
alltereg0.ru
adv679854.ru
luxup.ru