Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1... 454647484950515253 ...101
А
На сайте с 21.09.2010
Offline
112
Алвель
#481
Duck83:
Подскажите пожалуйста, возросли переходы с моего сайта вот на эти ресурсы:
_nbox.jquerys.ru
www.quick-searcher-v2.biz
_dm1.jquerys.ru

CSP настроено, однако в последнее время опять начались переходы на эту нечисть. Это мне перетряхивать список допущенных надо или ребята нашли способ обойти защиту? Если кому не трудно - гляньте на своих сайтах с настроенной CSP переходы с сайта.

Ad Mediator - настраиваем Visitweb.com - Выгодный заработок Метрика: Содержание - Внешние
S
На сайте с 28.02.2009
Offline
99
sapphir
#482
Алвель:
CSP настроено, однако в последнее время опять начались переходы на эту нечисть. Это мне перетряхивать список допущенных надо или ребята нашли способ обойти защиту? Если кому не трудно - гляньте на своих сайтах с настроенной CSP переходы с сайта.

При настроенном CSP эта дрянь все равно пробивается, т.к. дело уже в зараженных пк и роутерах, а не только в расширениях для браузеров. тут мы бессильны.

ps/ отключил CSP пару дней назад, кол-во левых переходов не увеличилось, осталось прежним.

Переходы с сайта на Как работают поведенческие факторы? Zaycev.net - блокировка в
big boy
На сайте с 18.11.2006
Offline
357
big boy
#483

Ребят, я схватил какой-то глюк.

Правила CSP прописаны в htaccess. Если я их оттуда удаляю или закомменчиваю - начинают работать какие-то другие CSP правила и сайт начинает рвать по всем швам. Может ли браузер кешировать частично csp?

Искал, может я где-то в других местах csp прописал, но не нашел. Всё чисто.

---------- Добавлено 24.04.2015 в 21:29 ----------

И еще момент, даже с CSP начала лезть такая ересь:

quick-searcher-v3.com

quick-searcher-sng-v2.com

x8k.ru

quick-searcher-sngs.com

pozitivrekl.ru

Как там в песне поётся? "И никуда, никуда, никуда от них нам не деться!" )))

---------- Добавлено 24.04.2015 в 21:41 ----------

Как можно узнать где еще прописан CSP?

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik
Просел доход на адсенс Обман пользователей мобильного интернета, Re: Резкое падение позиций
big boy
На сайте с 18.11.2006
Offline
357
big boy
#484

Нашел свою иголку в стоге сена!

.htaccess каким-то образом попал сюда: /var/www/user/data

И оттуда давал свои команды, но так как был устаревший, то и CSP были неправильные.

Фух!

Два часа!

Два часа я на это убил! Чтобы найти один файлик и удалить!

Закупка ссылок - с монетизация Поведенческие факторы
big boy
На сайте с 18.11.2006
Offline
357
big boy
#485

Третий день эксперимента без CSP.

Переходы на левые сайты:

В Adsense вообще никаких изменений не замечено. Только цена клика упала с $0,04 до $0,02 (второй день так). Но связывать это с CSP я не решаюсь.

Из плюсов - меньше глючит реклама. С CSP то и дело какой-нибудь из блоков показывал пустоту, сейчас такого нет. Ну а минусы на скриншоте.

Просел доход на адсенс Re: Резкое падение позиций Zaycev.net - блокировка в
xpycteamset
На сайте с 05.10.2009
Offline
129
xpycteamset
#486

Подскажите что не так с настройками?

Используется метрика/адсенс/liveinternet/livetex 

<?php

$csp = "Content-Security-Policy-Report-Only: "

       . "default-src 'self' *.сайт.ру сайт.ру; script-src 'self' *.сайт.ру сайт.ру api-maps.yandex.ru yandex.ru https://*.googleapis.com *.googleapis.com https://maxcdn.bootstrapcdn.com *.livetex.ru *.google-analytics.com https://*.yandex.ru;frame-src 'self' *.сайт.ру сайт.ру; connect-src 'self' *.сайт.ру сайт.ру mc.yandex.ru https://translate.googleapis.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru; style-src 'self' 'unsafe-inline' *.сайт.ру сайт.ру livetex.ru *.livetex.ru; font-src 'self' *.сайт.ру сайт.ру livetex.ru *.livetex.ru; img-src 'self' *.сайт.ру сайт.ру *.yadro.ru https://*s.yandex.ru google-analytics.com *.google-analytics.com *.livetex.ru livetex.ru; object-src 'self' *.сайт.ру сайт.ру;"

       . "report-uri http://www.сайт/csp/csp.php";

header($csp);

?>

Когда Content-Security-Policy-Report-Only меняю на Content-Security-Policy то картинка у liveinternet пропадает, livetex тоже перестает показываться, и может быть не считает и метрика с адсенсом.

Content-Security-Policy и Яндекс Браузер Апдейт поисковой базы 14.10.14 Резкое падение позиций в
big boy
На сайте с 18.11.2006
Offline
357
big boy
#487
xpycteamset:

Когда Content-Security-Policy-Report-Only меняю на Content-Security-Policy то картинка у liveinternet пропадает, livetex тоже перестает показываться, и может быть не считает и метрика с адсенсом.

А что в отчетах?

Когда запускаете CSP проверьте сайт firebug'ом - он в консоли пишет все заблокированные адреса.

Malcolm
На сайте с 02.05.2007
Offline
119
Malcolm
#488
xpycteamset:
Подскажите что не так с настройками?

Добавьте 'unsafe-inline' в поле script-src

xpycteamset
На сайте с 05.10.2009
Offline
129
xpycteamset
#489
big boy:
А что в отчетах?

А почему то не создаются, пока с этим не разбирался.

Когда запускаете CSP проверьте сайт firebug'ом - он в консоли пишет все заблокированные адреса.

Смотрю через хром

Выдает следующее

Uncaught SecurityError: Failed to execute 'open' on 'XMLHttpRequest': Refused to connect to 'http://balancer-cloud.livetex.ru/get-server/?site_id=13421&__fallback__&_h[lt-origin]=account%3A7215%3Asite%3A13421' because it violates the document's Content Security Policy.

Refused to connect to 'http://balancer-cloud.livetex.ru/get-server/?site_id=13421&__fallback__&_h[lt-origin]=account%3A7215%3Asite%3A13421' because it violates the following Content Security Policy directive: "connect-src 'self'

Refused to load the image 'data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAADMAAACgCAYAAAChU1THAAAAGXRFW…wLNXMt8+jT9aB/qTFPIZ4QZApVvQrVjXvyBLdoEzLw/wQYAIhIAmmNcIWFAAAAAElFTkSuQmCC' because it violates the following Content Security Policy directive: "img-src 'unsafe-inline' 'self'

Uncaught TypeError: this._$m.appendChild is not a function api-maps.yandex.ru/2.0.41/release/combine.xml?modules=3N5v6D3G363R3H3--*.w-…r1I_$6B6C_-6A8R7n0l3F012s2R3C0Q3b0i1Z2I2O7p4g-u&jsonp_prefix=ymaps2_0_41:1

Refused to load the image 'data:image/gif;base64,R0lGODdhxAEsAfIHALOystPS0r69vbe3t5WVlaamptDPz8bFxSH/C…8zNT31qfybd5+uVZHAN0Pr9h4/tE6pLwe60W/v9r7lniq49m7vpg7DP3hq7/a+w6Zi7ymcAAA7' because it violates the following Content Security Policy directive: "img-src 'unsafe-inline' 'self'


С1
На сайте с 31.01.2015
Offline
83
Серегей13
#490

Доброго дня!

Помогите пожалуйста настроить данную защиту на вопрдпресс.

Все прочел, то что тут советуют, но так и не смог установить.

Вроде бы делаю все так как пишут, но статистку так и не получаю в файлы.Хотя файл сsp.php поставил и директорию добавил. А там пусто

В конфиге прописал это:

<ifModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' *.nagitaru.ru;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.http://nagitaru.ru *.actionpay.ru http://10.20.2.42:15871 *.amazonaws.com http://code.jquery.com *.ytimg.com http://*.whisla.com http://*.republer.com *.appsaddons.com http://*.revsci.net https://*.revsci.net http://www.promo.r-money.ru https://dl.dropboxusercontent.com https://merchant.roboxchange.com http://www.wolframalpha.com http://wolframalpha.com http://userapi.com *.webmoney.ru *.yandex.ru *.yandex.net https://*.yandex.net https://*.yandex.ru https://yastatic.net http://*.siteheart.com https://*.siteheart.com *.adriver.ru https://*.googleapis.com https://*.google.com http://*.google.com.ua *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net http://w.uptolike.com *.kavanga.ru http://recreativ.ru http://vk.com https://vk.com http://kavanga.sibnet.ru;object-src 'self' http://*.ytimg.com r-money.ru *.macromedia.com *.adobe.com https://*.adobe.com *.adriver.ru https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com http://alpari.ru http://www.alpari.ru *.kavanga.ru kavanga.sibnet.ru;style-src 'self' 'unsafe-inline' *.http://nagitaru.ru *.amazonaws.com *.googleapis.com https://* http://*.siteheart.com http://recreativ.ru http://netdna.bootstrapcdn.com;img-src * *.whisla.com *.revsci.net data: *.мой сайт *;media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' http://*.nagitaru.ru https://video.yandex.ru https://c.mscimg.com *.qservz.com *.4zw.pw *.intencysrv.com *.etgdta.com blocking.stat *.yahoo.com *.hubrus.com https://money.yandex.ru https://yandex.ru *.siteheart.com https://*.siteheart.com *.webmoney.ru *.yandex.ru *.yandex.net http://wolframalpha.com http://www.wolframalpha.com http://vk.com https://vk.com https://*.vk.com http://www.youtube.com https://www.youtube.com *.adriver.ru http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net http://w.uptolike.com https://*.google.com http://*.google.com *.facebook.com *.datamind.ru http://www.google.com.ua *.rutarget.ru *.kavanga.ru *.revsci.net *.republer.com;font-src 'self' *.http://nagitaru.ru *;connect-src 'self' https://static.siteheart.com ws://client.siteheart.com http://w.uptolike.com https://www.youtube.com http://www.alpari.ru https://translate.googleapis.com http://mc.yandex.ru *.googlevideo.com https://*.gstatic.com;report-uri http://nagitaru.ru/csp.php"

</IfModule>

Я не силен в разборе данного модуля, (скопировал его тут на форуме) но прописал только свой сайт там где надо. . Куча лишнего, но мне хотябы для начала нужно добавить необходимые урлы (домены). Чтобы все отображалось.

После установки данного кода, счетчики перестали работать и картинки в яндекс рекламе пропали. также некоторые соц кнопки (маил, твитер, гугл плюс, одноклассники)

И еще есть вопрос. Сайт находиться под кешем. Это может как-то влиять на защиту?

Беда wap рынка. Гугл Резкое падение позиций в Вредители ad-tizer.net
1... 454647484950515253 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий