Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1... 535455565758596061 ...101
А
На сайте с 21.09.2010
Offline
112
Алвель
#561
oml:
В списке заблокированных в большом кол-во появляются скрипты http://jsc.marketgid.com \ http://jsu.marketgid.com и т.д. хотя на сайте только гугл и яндекс реклама.
Может быть что marketgid.com пробивается через RTB аукционы? Стоит его разблокировать ?

Аналогичная ситуация - на сайте тизеров нет, только Адсенс и Директ. Через их блоки не может Маркетгид пробиваться? Кто в курсе?

L
На сайте с 07.12.2007
Offline
351
Ladycharm
#562
Алвель:
Аналогичная ситуация - на сайте тизеров нет, только Адсенс и Директ. Через их блоки не может Маркетгид пробиваться?

Нет, судя по блокировкам Content Security Policy, маркетгид работает не через них. Он использует свой cdn, грузит картинки и скрипты со своих доменов и коннектится к ним:

jpg mg.jpg
NV
На сайте с 26.08.2015
Offline
0
NeVitaliy
#563

Ladycharm как Вы добились такого отображения отчета? CSP настроил, но текстовые отчеты которые приходят очень неудобно изучать.

NV
На сайте с 26.08.2015
Offline
0
NeVitaliy
#564

И можно ли как то исключить из отчетов "original-policy"? А то они раздуваются из за этого и много весят.

Lu_den
На сайте с 12.02.2011
Offline
105
Lu_den
#565

Спасибо за информативную тему!

Настроил CSP:

img-src 'self' *.mysite.ru mysite.ru *.yandex.net *.yandex.ru yandex.ru yandex.st\
go.youlamedia.com\
http://yastatic.net https://yastatic.net\
*.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com\
https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com\
https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data:;\

Но http://yastatic.net/share/static/b-share-icon.png регулярно попадает в отчеты 😕 Как такое может быть?

Важные сайты держу на этом хостинге (http://beget.ru/?id=6186). Месяц бесплатного теста. SEO-дзен: сокровища оптимизаторской мудрости (http://alexeytrudov.com/seo-zen/).
R
На сайте с 15.04.2009
Offline
57
Redslon
#566

CSP настроил, как описано в теме. Домен кириллический. Однако на сайте не исполняются собственные скрипты и не подгружаются картинки с поддомена в Мозиле, в остальных браузерах все работает. Может, кто подскажет решение? 

Header set Content-Security-Policy "\

default-src 'self' *.mysite_Punycode mysite_Punycode *.mysite_Кириллица mysite_Кириллица; \

script-src 'self' *.mysite_Punycode mysite_Punycode *.mysite_Кириллица mysite_Кириллица; \

frame-src 'self'; \

connect-src 'self' *.mysite_Punycode mysite_Punycode *.mysite_Кириллица mysite_Кириллица; \

style-src 'self' *.mysite_Punycode mysite_Punycode *.mysite_Кириллица mysite_Кириллица; \

font-src 'self'; \

img-src 'self' *.mysite_Punycode mysite_Punycode *.mysite_Кириллица mysite_Кириллица; \

object-src 'self'; \
A
На сайте с 04.11.2009
Offline
105
avantus
#567

Постоянно проскакивают в логах:

"blocked-uri":"self"

"violated-directive":"inline script base restriction"

'unsafe-inline' и 'unsafe-eval' прописаны.

Из-за чего и как исправить?

T
На сайте с 17.05.2011
Offline
31
tugrig
#568

Спасибо всем активным участникам темы!

Вообщем оказался тут из-за очередного фильтра яши: в течении двух месяцев второй раз уже все запросы из топа на 20 позиций откатились, траф с 7,5к до 2к в основном с гугла.

Платон говорит за обман пользователей - перенаправление на мошеннические ресурсы.

Сейчас оставил только адсенс, а были ещё тизерледи, медиавенус, в крутилке - адвертур, ртб сапе, betweendigital.

Два вечера читал тему вникал, чуть мозг не взорвался.

В итоге поставил csp в htaccess 

<ifModule mod_headers.c>

  Header set Content-Security-Policy "\

default-src 'self' *.site.ru site.ru;\

script-src 'self' 'unsafe-inline' 'unsafe-eval' *.site.ru site.ru\

    *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st\

    *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net\

	*.issuu.com issuu.com disqus.com *.disqus.com\

    https://*.googleapis.com https://*.gstatic.com https://gstatic.com\

    https://*.googlesyndication.com https://api-maps.yandex.ru\

	https://mc.yandex.ru http://binogi.disqus.com http://www.google-analytics.com https://www.google-analytics.com \

	http://a.disquscdn.com https://yastatic.net http://yastatic.net \

	https://gdata.youtube.com http://e.issuu.com https://e.issuu.com ;\

frame-src 'self' *.site.ru site.ru\

    *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st\

    *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net\

    youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru\

	disqus.com *.disqus.com \

    https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com\

    https://*.googleapis.com https://*.gstatic.com https://gstatic.com\

    https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com\

	https://maps.google.ru https://www.google.com http://disqus.com ;\

connect-src 'self' *.site.ru site.ru\

    mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com \

	http://e.issuu.com http://api.issuu.com http://static.issuu.com \

	https://e.issuu.com https://api.issuu.com https://static.issuu.com \

	http://pingback.issuu.com https://pingback.issuu.com ;\

style-src 'self' 'unsafe-inline' 'unsafe-eval' *.site.ru site.ru\

    *.googleapis.com *.gstatic.com *.yandex.ru\

    https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;\

font-src 'self' *.site.ru site.ru\

    *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com\

    https://*.gstatic.com https://*.yandex.ru data:;\

img-src 'self' *.site.ru site.ru *.yandex.net *.yandex.ru yandex.ru yandex.st\

    *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com\

	*.issuu.com issuu.com youtube.com *.youtube.com \

    https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com\

    https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com \

	http://2.gravatar.com http://counter.yadro.ru http://www.google-analytics.com https://www.google-analytics.com \

	http://yastatic.net https://yastatic.net http://img.youtube.com \

	http://image.issuu.com https://image.issuu.com data: ;\

object-src 'self' *.gstatic.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru \

	http://static.issuu.com http://mc.yandex.ru https://mc.yandex.ru ;\

report-uri http://site.ru/csp/csp.php ;\"

</IfModule>

Отчёты как тут

Настраивал по консоли в яндекс браузере в тестовом режиме, и запустил в работу.

Вообщем в IE и Ябраузере всё ок у меня на компе, в лисе не работают комменты от дискус, соц кнопки от яндекс и issuu.com, в хроме нет дискус.

В остальном пока проблем не вижу.

Вот кусок отчётов, что то там от яндекс много, вроде ведь всё разрешено.

Опытные коллеги гляньте, поправьте, что не так :)

Пессимизация за рекламу Адвмейкер Михалоч - мошенничество. Многоязычный каталог 2net.info
dtdt
На сайте с 20.12.2007
Offline
121
dtdt
#569

Приветствую!

Просмотрел ветку, но толком так и не понял как это все работает, увы (((

Коллеги, выложите универсальный код для добавления в htaccess

С уважением!

"Жизнь и смерть предложил Я тебе, благословение и проклятие. Избери жизнь" (Втор. 30,19).
*
На сайте с 08.09.2009
Offline
186
*NR*
#570

dtdt

Универсального кода не существует, каждый сайт нужно настраивать индивидуально!

При этом при вносе каких-то правок по добавлению рекламы на сайте, правила нужно снова проверять и донастраивать.

Читайте ветку, гуглите... если всё равно не ясно как настроить, тогда только платные услуги у специалистов.

Настройка целей в ГА Беда wap рынка. Гугл Настройка сервака
1... 535455565758596061 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий