Настроил cspbuilder Info, чтобы получить доступ к отчетам - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

L

351

Ladycharm

3 июня 2015, 13:18

#531

HorrorDrug:
Обращение к файлу в логах есть, но отчетов всёравно нет.

Раз обращения есть - значит отчёты присылаются -> .htaccess корректно отрабатывает report-uri http://site.ru/csp.php

Модуль csp.php у вас должен лежать в корневой папке сайта site.ru. Там же должна создаться папка /csp/ по mkdir($dir, 0777);

А в ней должны создаваться папки отчётов по датам.

Попробуйте создать папку /csp/ руками и поставить на неё права 777.

Потому, что некоторые версии PHP не поддерживают рекурсию и не создают по mkdir() вложенные папки типа mkdir('/csp/03062015', 777).
Тогда в скрипте приходится делать:
mkdir('/csp', 777)
и потом:
chdir('csp');
mkdir('/03062015', 777);

PS: Если не получится с собственным csp.php - вариант от NR имеет полное право на жизнь.

PHP и права Права на запись 0647 Резкое падение позиций в

HD

155

Пётр Емелин

3 июня 2015, 14:19

#532

ipbortnikov:
Всем привет. Настроил csp. Вроде все режет как и положено. Сейчас жду от партнерок список доменов(у teasernet их больше десятка).
Но проблема в следующем. В папке отчетов создаются файлы разрешенных доменов(некоторых), и в нем ооочень много строк

Вот они:

violated-directive:
USER_AGENT: Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0
IP: ип сервера

#---------------------------------------------------------------~
violated-directive:
USER_AGENT: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0
IP: ип сервера

p.s. Может было но все же. Наткнулся на расширение CSP Tester для хрома. Подсовывает все на лету. То есть можно писать и на живом сайте проверять как и что. И не один из пользователей не чего не заметит. А потом уже и в код сайта на постоянной основе.

Поставил на яндекс браузер, но не понял как отчеты смотреть?

Читаем правила форума про подпись.

I

4

ipbortnikov

3 июня 2015, 14:25

#533

HorrorDrug:
Поставил на яндекс браузер, но не понял как отчеты смотреть?

Отчеты она не показывается. Либо через консоль либо еще как то

L

351

Ladycharm

3 июня 2015, 15:06

#534

HorrorDrug:
Поставил на яндекс браузер, но не понял как отчеты смотреть?

Яндек-браузером не пользовалась, а в Хроме - принтскрин ниже(или комбинация клавиш Ctrl + Shift + J). Ходите по сайту и смотрите ошибки, они будут в консоли яваскрипт помечены "Content Security Policy".

В FifeFox - аналогично.

jpg chrome.jpg

Подключение к сайту защищено Резкое падение позиций в Помогите поправить скрипт определяющий

HD

155

Пётр Емелин

3 июня 2015, 15:25

#535

Ladycharm:
Яндек-браузером не пользовалась, а в Хроме - принтскрин ниже(или комбинация клавиш Ctrl + Shift + J). Ходите по сайту и смотрите ошибки, они будут в консоли яваскрипт помечены "Content Security Policy".
В FifeFox - аналогично.

В общем всё же удалось получить доступ к отчетам через cspbuilder.info . Но как всё до ума довести не пойму... Все домены которые я хочу добавить в белый отметил как "allow", затем перешел в builder и не вижу в сгенерированном коде домены которые отмечал.

Как реализовать запрос к Zerber Перевод всех партнеров на

*

186

*NR*

3 июня 2015, 15:52

#536

HorrorDrug:
В общем всё же удалось получить доступ к отчетам через cspbuilder.info . Но как всё до ума довести не пойму... Все домены которые я хочу добавить в белый отметил как "allow", затем перешел в builder и не вижу в сгенерированном коде домены которые отмечал.

сперва идешь в Review отмечаешь то что надо, перед Аllow еще не забудь чек-бокс чуть выше поставить на правило

после того как всё отобрал - топаешь в Policy - там и будет нужный код

Но код нужно еще напильником обрабатывать.

Я за основу взял тот что тут выше, выкладывали, чтобы не манаться с гуглом и добавил туда своё.

Многострочный со сшэлами у меня тоже не работает, пришлось переводить всё в одну строку.

1

listing & code Помогите с хитаксесс Установка кода SAPE на

HD

155

Пётр Емелин

3 июня 2015, 16:01

#537

*NR*:
сперва идешь в Review отмечаешь то что надо, перед Аllow еще не забудь чек-бокс чуть выше поставить на правило

после того как всё отобрал - топаешь в Policy - там и будет нужный код
Но код нужно еще напильником обрабатывать.

Я за основу взял тот что тут выше, выкладывали, чтобы не манаться с гуглом и добавил туда своё.

Многострочный со сшэлами у меня тоже не работает, пришлось переводить всё в одну строку.

отмеченные сторонние домены отображаются в сгенерированном коде, а вот мой домен почему-то нет, это глюк или свой домен можно только вручную добавить?

O

44

oml

3 июня 2015, 16:03

#538

Всем добрый вечер

Настроил CSP, вроде бы все левое ушло - аля quick-searcher-sng.net...уже хорошо, хотя статистика ПФ почти не изменилась.

Подскажите, cspbuilder.info в отчете пишет, что много блокировок по правилу frame-ancestors about - это что?

Еще есть есть способ запретить показывать свой ресурс в чужих фреймах?

В статистике LI остается много переходов на уже нормальные сайты - аля wildberries.ru - откуда они берутся???

LI - "количество переходов Переходы с сайта на Конкурент нереально поднялся в

*

186

*NR*

3 июня 2015, 17:15

#539

HorrorDrug:
отмеченные сторонние домены отображаются в сгенерированном коде, а вот мой домен почему-то нет, это глюк или свой домен можно только вручную добавить?

да, вручную

свой хост я прописывал в код руками

1

HD

155

Пётр Емелин

3 июня 2015, 17:43

#540

*NR*:
да, вручную
свой хост я прописывал в код руками

Спасибо! Со всем вроде разобрался, а вот сбросить сгенерированный код как-то можно?

Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Настройка CSP - Content Security Policy