Заблокировано 315 урлов, и некоторые по много раз - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

313

pavel419

23 февраля 2015, 21:16

#341

Я вот посмотрел и с удивлением у себя тоже обнаружил снова эту хрень, при этом что на несколько дней после внедрения CSP оно вобще пропало. Да, их гораздо меньше, но они есть, интересно стату за сегодня посмотреть, сейчас пока на ливере она недоступна, как оно пролазит?

---------- Добавлено 24.02.2015 в 01:17 ----------

big boy, а сколько трафа на сайте? Что-то переходов просто немеряно)

@RuSeoBot (http://s419.ru/ruseobot/)- первый seo-бот в Twitter, а теперь - и канал в Telegram (http://s419.ru/servisy/pervyj-poiskovyj-seo-kanal-v-telegram/) Мой сайт про виртуальную реальность (http://vr419.ru/) Как правильно покупать на Алиэкспресс (http://4ali.ru/)

Просел доход на адсенс Liveinternet у всех врёт Задолбала реклама на планшетах

356

big boy

23 февраля 2015, 21:30

#342

pavel419:
как оно пролазит?

Возможно реклама не в сайт встраивается, а в сам браузер и крепится к низу страницы например.

pavel419:
big boy, а сколько трафа на сайте? Что-то переходов просто немеряно)

Что-то около 25к было вчера. И то после пессимизации Яшей хз за что.

1

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik

313

pavel419

23 февраля 2015, 21:34

#343

big boy, но CSP работает, за сегодня заблокировано 315 урлов, и некоторые по много раз. Так что не знаю, что еще сделать. там вроде только самое важное разрешено.

L

351

Ladycharm

23 февраля 2015, 21:52

#344

big boy:
Может дело в том, что не в .htaccess вставляю, а в php (в index.php CMS)?

Разницы между PHP и .htassess - никакой. Надо только, чтобы CSP вставлялась на все страницы сайта, а не только на морду. htaccess гарантированно вставляет на все, даже на админку сайта, что не всегда хорошо.

Для Адсенса надо:

font-src:		
	добавить	*.gstatic.com
  fonts.googleapis.com			заменить на	*.googleapis.com
  https://fonts.googleapis.com	заменить на	https://*.googleapis.com
  https://fonts.gstatic.com		заменить на	https://*.gstatic.com
		
frame-src:		
	добавить	*.googleadservices.com
	добавить	https://*.googleadservices.com

img-src:		
	добавить	*.2mdn.net
	добавить	*.googleapis.com
	добавить	*.gstatic.com
	добавить	https://*.2mdn.net
	добавить	https://*.doubleclick.net
	добавить	https://*.googleapis.com
	добавить	https://*.gstatic.com

script-src:		
	добавить	https://*.gstatic.com
		
style-src:		
	добавить	*.gstatic.com
	добавить	https://*.gstatic.com

Если кроме Адсенса другой рекламы на сайте нет, смело убирайте из всех директив:

*.adeasy.ru
adeasy.ru
am15.net
*.am15.net
*.100im.net
100im.net
cityads.ru
*.cityads.ru
ads.actionteaser.ru
adforce.ru
*.adforce.ru
advapi.ru
*.advapi.ru
https://advapi.ru
https://*.advapi.ru
*.1tv.ru
*.adsniper.ru
*.kavanga.ru
*.bubblesmedia.ru
*.actionteaser.ru

PS: На счёт *.twitch.tv - не знаю, разве что вы их фильмы на сайте показываете.

3

такие дела мне не Помогите с adsense Profit-Partner.ru консультирует сайты, не

S

165

Sla

23 февраля 2015, 22:27

#345

Ladycharm, вынужден признать, что ошибался. Похоже, мне попался один кривой баннер от adtarget.me (там было подчеркивание в хосте adtarget_100x80.me, видимо из-за этого не создавался safeframe - гугл всё вываливал в фрейм без src - на него распространяются правила CSP и соответственно всё резалось по CSP), а я решил, что это обычная практика у гугла.

Ещё сбило с толку, что в логах CSP были sociomantic.com, adnxs.com, turn.com, ещё несколько - белые вроде конторы... но видимо тоже из-за каких-то глюков туда попали или плагины их используют.

Переходы с сайта на Zaycev.net - блокировка в Adwords взмломан. Ваш мобильный

L

351

Ladycharm

23 февраля 2015, 23:09

#346

Sla:
гугл всё вываливал в фрейм без src - на него распространяются правила CSP и соответственно всё резалось по CSP)

У Гугла - да, наружный фрейм без src, а внутри него ещё 2 фрейма уже с scr. Там сам чёрт ногу сломит разбираться. Плюс, некоторые malvare вставляют свою рекламу прямо на место Адсенса, тк браузерному плагину доступны все iframe на странице.

Так что если что заметите подозрительное - вываливайте в топик не раздумывая, будем смотреть все вместе, мы - в одной лодке.

PS: doubleclick.net - универсальная платформа показа рекламы, через неё может показываться не только Адсенс. Любой желающий может подключиться и крутить свою рекламу на этой платформе, она ведёт учет показов, кликов, меряет конверсию и тп.

Так, что там тоже могут быть сюрпризы.

1

Переходы с сайта на Просел доход на адсенс Кол-во кликов в Adsense

356

big boy

24 февраля 2015, 04:00

#347

Ladycharm, вы прям наш Робин Гуд, спаситель, великий тулбарный воин! )))

Спасибо за советы, попробую.

179

and2005

24 февраля 2015, 07:38

#348

Может быть пропустил, подскажите, а то никак не пойму.

В этом списке LI:

"отчет: количество переходов на сайты по дням | по неделям | по месяцам"

Отражаются ли переходы по рекламе AdSence?

У меня там много приличных сайтов, вроде wildberries.ru. (Эти - dm1.jquerys.ru - тоже есть)

LI - "количество переходов О влиянии количества счётчиков Трабла с LI

356

big boy

24 февраля 2015, 07:52

#349

and2005:
Отражаются ли переходы по рекламе AdSence?

Нет. Клик не регистрируется в ЛИ, так как идёт из фрейма адсенса, который не учитывается в стате счетчика.

179

and2005

24 февраля 2015, 08:08

#350

Значит, wildberries.ru пользуется их услугами. Не думал.

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Настройка CSP - Content Security Policy