Проверка по списку CSP проходит на стороне пользователя - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

356

big boy

25 февраля 2015, 12:23

#371

Кстати, буффер заголовков мне увеличили в nginx и теперь любая портянка пролезает.

Вопрос вот в чем. Сильно большие заголовки over 5кб, как в целом действуют на загрузку сайта? Может ли это негативно сказаться на скорости загрузки страниц?

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik

Увеличить скорость загрузки страниц Вес сайта Большие качественные фото товара

VD

62

Vl@dimir

25 февраля 2015, 12:29

#372

А как увеличить этот буфер?

313

pavel419

25 февраля 2015, 12:50

#373

big boy, при включенной CSP скрипты в любом случае медленнее загружаются, потому что проверяются на принадлежность белым спискам.

(Можете проверить, у меня было на глаз видно), По идее, чем толще список, тем дольше скриптам проверяться. Особенно, если хостинг слабый.

Сами по себе +5 кб к загрузке сайта это пшик, особенно на сайтах с тяжелым дизайном.

@RuSeoBot (http://s419.ru/ruseobot/)- первый seo-бот в Twitter, а теперь - и канал в Telegram (http://s419.ru/servisy/pervyj-poiskovyj-seo-kanal-v-telegram/) Мой сайт про виртуальную реальность (http://vr419.ru/) Как правильно покупать на Алиэкспресс (http://4ali.ru/)

Скорость загрузки сайта при Медленная загрузка сайта при Страницы форума загружаются по

VD

62

Vl@dimir

25 февраля 2015, 12:54

#374

Нашел по буферу, поставил:

client_header_buffer_size 32k;

large_client_header_buffers 16 16k;

---------- Добавлено 25.02.2015 в 17:10 ----------

Короче если портянка собирается то не вариант совсем это CSP в мобильной опере 502 ошибка. Проблема в то м что всякого рода тизерные сети и РТБ системы имеют много источников

1

ihor.ru: VDS с SSD Просел доход на адсенс Гугл начал банить за

[Удален]

25 февраля 2015, 13:35

#375

pavel419:
big boy, при включенной CSP скрипты в любом случае медленнее загружаются, потому что проверяются на принадлежность белым спискам.
(Можете проверить, у меня было на глаз видно), По идее, чем толще список, тем дольше скриптам проверяться. Особенно, если хостинг слабый.

Сами по себе +5 кб к загрузке сайта это пшик, особенно на сайтах с тяжелым дизайном.

хостинг здесь непричём. проверка по списку CSP проходит уже на стороне пользователя. хостинг только отдаёт прописанные байты и всё.

1

313

pavel419

25 февраля 2015, 13:39

#376

lyocik, ну да, но скрипты то всё равно будут медленнее отрабатывать из-за этого)

427

samimages

25 февраля 2015, 14:42

#377

pavel419:
ну да, но скрипты то всё равно будут медленнее отрабатывать из-за этого)

асинхронно их грузите, да и все.

1

Опыт как иммунитет — приобретается в муках! Аудит семантики от 15К [долго] - ЛС

313

pavel419

25 февраля 2015, 15:49

#378

samimages, я не умею (((

Может ткнете в статью для чайников? Я как раз тут думал, как еще сайты ускорить, и гугл через раз пишет, что уберите скрипты из заголовков, а куда их убирать, хз.

Погуглил, понял, что бОльшая часть народа просто забивает на эту рекомендацию, речь про это

SEO, маркетинг, продвижение, сопровождение, Вопрос россиянам по вебмани Вопрос к редакторам!

L

351

Ladycharm

25 февраля 2015, 17:14

#379

big boy:

imrk.net
rtb.rtcdn.ru
sync.upstats.ru
cookie.whisla.com
alltereg0.ru
x.bidswitch.net
adhigh.net
luxup.ru
adv679854.ru

Кто, что может по ним сказать?

Если на сайте Директ + Адсенс - этот "мусор" добавлять однозначно не надо, тк им как раз монетизируется плагины подмены рекламы и прочее malware.

Если на сайте стоят тизерки - надо смотреть и открывать нужные домены только для них.

Тизерки собирают статистику посещений Яндекс разлюбил мой сайт Нужен совет по монетизации

427

samimages

26 февраля 2015, 00:05

#380

pavel419:
samimages, я не умею (((
Может ткнете в статью для чайников?

Я делал так:


<div id="script_ad" class="script_ad" style="display:none;">Здесь любой файл или скрипт, который нужно загрузить.</div>

 

<script type="text/javascript">

   // переместить его в реальную позицию отображения

   document.getElementById('script_block').appendChild(document.getElementById('script_ad'));

   // показать

   document.getElementById('script_ad').style.display = 'block';

</script>

Дочитать здесь

Если есть потребность в чем-то более сложном, убиться можно здесь :)

5

Курс биткоина превысил $50 тысяч

Переиграть и победить: как анализировать конкурентов для продвижения сайта

Настройка CSP - Content Security Policy