Вставить на сайт яваскрипт из плагина - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

77

Xaron

7 марта 2015, 17:30

#401

Ilekor, указаны же они там

Xaron:


img-src·'self'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.net·*.yandex.ru·yandex.ru·yandex.st·https://*.yandex.net·https://*.yandex.ru·counter.yadro.ru·*.yadro.ru·https://*.yadro.ru·https://counter.yadro.ru·data:;·

138

Ilekor

7 марта 2015, 17:32

#402

Xaron:
Ilekor, указаны же они там

Кроме этой директивы больше не нужно его нигде указывать.

еще этот вставьте http://*.liveinternet.ru https://*.liveinternet.ru ту да же

1

Лучший дорген 21 века AgDor(http://agdor.info)

77

Xaron

7 марта 2015, 17:51

#403

Добавил в img-src такую последовательность

*.yadro.ru https://*.yadro.ru *.liveinternet.ru https://*.liveinternet.ru

(из остальных убрал yadro)

Так всё зафурычило. Спасибо :)

L

351

Ladycharm

7 марта 2015, 22:07

#404

Xaron:
Почему сюда?
Не фурычит в смысле.

Потому, что по вашей ссылке - яваскрипт, который будет грузить картинку именно с www .liveinternet.ru:

var img = new Image(1,1);
img.src = 'http://www.liveinternet.ru/click?*' + link;

1

59

Staid

8 марта 2015, 02:34

#405

Ladycharm, прочитал всю тему и совсем запутался. Подскажите пожалуйста как корректно настроить CSP если на сайте стоит li, метрика и адсенс?

Кстати установил плагин ради теста. Рекламу не подменяет, но при первом клике в любое место сайта открывается вторая вкладка с сайтом мавроди. :o

Как сделать вторую вкладку Беда wap рынка. Гугл Re: Резкое падение позиций

L

351

Ladycharm

8 марта 2015, 10:31

#406

Staid:
Подскажите пожалуйста как корректно настроить CSP если на сайте стоит li, метрика и адсенс?

Content-Security-Policy:
default-src 'self' your-site.com *.your-site.com;
connect-src 'self' your-site.com *.your-site.com *.yandex.ru https://*.yandex.ru;
font-src 'self' your-site.com *.your-site.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com;
frame-src 'self' your-site.com *.your-site.com *.doubleclick.net https://*.doubleclick.net *.googleadservices.com https://*.googleadservices.com *.googlesyndication.com https://*.googlesyndication.com *.yandex.ru https://*.yandex.ru;
img-src 'self' your-site.com *.your-site.com *.2mdn.net https://*.2mdn.net data: *.doubleclick.net https://*.doubleclick.net *.googleapis.com https://*.googleapis.com *.googlesyndication.com https://*.googlesyndication.com *.gstatic.com https://*.gstatic.com yadro.ru https://yadro.ru *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;
object-src 'self' your-site.com *.your-site.com *.doubleclick.net https://*.doubleclick.net *.gstatic.com https://*.gstatic.com;
script-src 'self' 'unsafe-eval' 'unsafe-inline' your-site.com *.your-site.com *.doubleclick.net https://*.doubleclick.net *.googlesyndication.com https://*.googlesyndication.com *.gstatic.com https://*.gstatic.com yadro.ru https://yadro.ru *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;
style-src 'self' 'unsafe-inline' your-site.com *.your-site.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com;

Но надо смотреть по отчётам CSP, поскольку бывают ньюансы. Например, форумы загружают картинки и аватары отовсюду. Вs сами(плагины CMS) можете использовать скрипты и шрифты из внешних источников

Staid:
Кстати установил плагин ради теста. Рекламу не подменяет, но при первом клике в любое место сайта открывается вторая вкладка с сайтом мавроди. :o

Уже известно несколько сотен таких плагинов, рекламу подменяют не все. Свою рекламу вставляет большинство плагинов, остальные - собирают статистику, раскручивают группы в соцсетях, ищут уязвимости движков сайтов и тп.

Сам плагин ставить не обязательно, зачастую достаточно вставить на сайт яваскрипт из плагина, см показательный тест от pavel419.

И всего-то, надо поставить на страницу скрипт:

2

Вывод картинок в полных Вывод картинок в полных Беда wap рынка. Гугл

59

Staid

8 марта 2015, 12:24

#407

Ladycharm:
Но надо смотреть по отчётам CSP, поскольку бывают ньюансы. Например, форумы загружают картинки и аватары отовсюду. Вs сами(плагины CMS) можете использовать скрипты и шрифты из внешних источников

Благодарю. В моем случае это сайт визитка на котором стоит адсенс, метрика и лайв. Остальное подгружается со своего домена.

77

Xaron

8 марта 2015, 12:53

#408

Ladycharm, с 8 марта :)

Вопрос то был не столько "почему", сколько в том, что "не срабатывал тот вариант". Но я уже сделал, как подсказали

Как сделать, чтобы по report-uri отчеты на e-mail отправлялись?

UPD: надобность в отчетах на e-mail отпала

Хочу быть редактором, не Глючит отправка писем через Gogetlinks: урали сайт и

59

Staid

9 марта 2015, 15:17

#409

Нашел кстати онлайн генератор, может кому пригодится http://cspisawesome.com/content_security_policies

S

87

shablon

9 марта 2015, 20:10

#410

Подскажите, в отчете наблюдаю:

"referrer":"http://САЙТ.com/main.html"
"violated-directive":"img-src 'self' *.САЙТ.com САЙТ.com *.2mdn.net https://*.2mdn.net *.doubleclick.net https://*.doubleclick.net *.google-analytics.com https://*.google-analytics.com *.googleapis.com https://*.googleapis.com *.googlesyndication.com https://*.googlesyndication.com *.gstatic.com https://*.gstatic.com google-analytics.com https://google-analytics.com vk.com https://vk.com *.vk.com https://*.vk.com yadro.ru https://yadro.ru *.rambler.ru https://*.rambler.ru *.yadro.ru https://*.yadro.ru *.top.mail.ru https://*.top.mail.ru *.mail.ru https://*.mail.ru *.yandex.net https://*.yandex.net *.yandex.ru https://*.yandex.ru mc.yandex.ru https://mc.yandex.ru *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com"
"blocked-uri":"data"
"source-file":"http://mc.yandex.ru"
"line-number":28
"column-number":39
"status-code":0

Что-то блокируется из Яндекс-Метрики или все нормально?

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Что делать, чтобы попасть в ответы Google Bard

Настройка CSP - Content Security Policy