Попробуйте решить проблему с трансляцией видео - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

667

Redbaron _chaos

4 сентября 2015, 13:36

#601

В общем не знаю, совпадение это или нет. Так как прошло меньше суток.

НО: вижу что левые урлы блокирует - это раз.

И два: Резко на этом сайде подскочил доход в Аденсе, а точнее кол-во кликов.

При этом траффика не прибавилось, а наоборот примерно -5%, пятница все таки)

Посмотрю еще недельку. И буду на другие сайты ставить, есть еще парочка, где иногда в стате ЛИ проскакивают левые урлы.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )

Просел доход на адсенс Просели доходы Просел доход на адсенс

1774

LEOnidUKG

4 сентября 2015, 13:42

#602

где иногда в стате ЛИ проскакивают левые урлы.

Как и писал выше правила с frame поправьте и должны уйти тоже.

1

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/

173

langemark

4 сентября 2015, 14:14

#603

Господа, помогите решить проблему с трансляцией видео. После прикрутки CSP переходы на левые ресурсы сошли на нет, но перестало воспроизводиться видео на сайте. Стоит плеер от kernel-video. Плеер и все видеофайлы лежат на моем сайте. Видео вызывается через скрипт:

https://3vpn.top - с обходом глушилок мобильного интернета

Отвечу на ваши вопросы Не встраивается трансляция на Шифрование js и поисковики

1774

LEOnidUKG

4 сентября 2015, 14:32

#604

Если у вас flash надо настраивать параметр:

object-src

у меня его в правилах нет т.е. он запрещён со всех кроме текущего домена. Но нужно изучать.

173

langemark

4 сентября 2015, 14:43

#605

LEOnidUKG:
Если у вас flash надо настраивать параметр:

object-src

у меня его в правилах нет т.е. он запрещён со всех кроме текущего домена. Но нужно изучать.

У меня, вроде, все на текущем домене расположено. Пробовал различные вариации, пока безрезультатно

1

ID

33

IRONHiDE

4 сентября 2015, 14:49

#606

Давайте ссылку на страницу с плеером, можно в ЛС, посмотрю.

D3

104

devil331

4 сентября 2015, 14:50

#607

LEOnidUKG а подскажите, что делать когда после установки кода видео ютуба все ровно подменяется?

код такого вида на сайте <iframe width="640" height="360" src="//www.youtube.com/embed/9bQB55678" frameborder="0" allowfullscreen></iframe>

48

hun6ry

4 сентября 2015, 15:12

#608

hun6ry:
подскажите как быть с журналами от issuu.com, например: http://issuu.com/archipelagminsk/docs/private-house-20015-july ?

Кроме explorer нигде не открывается. Пишет вместо окна с журналом: "сервер не отвечает".

Добавил директиву connect-src *; стали открываться журналы от issuu.com, теперь вопрос... Что еще может открываться, если connect-src *; ничего не ограничивает в данном случае?

ID

33

IRONHiDE

4 сентября 2015, 15:24

#609

hun6ry, connect-src

48

hun6ry

4 сентября 2015, 16:21

#610

hun6ry:
Добавил директиву connect-src *; стали открываться журналы от issuu.com, теперь вопрос... Что еще может открываться, если connect-src *; ничего не ограничивает в данном случае?

Уже разобрался. Кстати вся эта хрень с редиректами (infomedia.xyz, x5y.ru и др.) и идет через object-src *; - ее и нужно прописывать в первую очередь. Как только прописал, как нужно было, эти говнопереходы прекратились. object-src контролирует такие плагины как Flash и другие

Всем спасибо, удачи!

PS: так правильно в моем случае: object-src 'self' *.issuu.com issuu.com;

Как сконфигурировать htaccess Нужно спрятать html код. Re: Резкое падение позиций

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

Все что нужно знать о DDоS-атаках грамотному менеджеру

Настройка CSP - Content Security Policy