Если у вас сайты развлекательной тематики, то не стоит это включать - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

ES

3

Eugene_Schmied

8 сентября 2015, 14:35

#671

Ladycharm, спасибо за подробное разъяснение.

так как у меня сайты развлекательной тематики, то думаю мне не стоит это включать.

---------- Добавлено 08.09.2015 в 17:44 ----------

хотя.... если на одном сайте много заходят с Android, то, как считаете, нужно на этом сайте это включать?

Минусинск заработал: часть 10 http://allpositions.ru/ - отзывы пользователей InstallCube.com - Центр монетизации

S

88

Swir

8 сентября 2015, 14:46

#672

Люди, подскажите пожалуйста расширения или плагины (opera, firefox, chrome), через которые все эти страшилки появляются - хочу глянуть у себя на сайте, как это выглядит.

667

Redbaron _chaos

8 сентября 2015, 18:38

#673

Swir:
Люди, подскажите пожалуйста расширения или плагины (opera, firefox, chrome), через которые все эти страшилки появляются - хочу глянуть у себя на сайте, как это выглядит.

Что там смотреть то. Сайт рекламой весь завешен, тизеры и баннеры, реклама подменяется.

Сам в прошлом году такую заразу хватанул, в Лисе плагин левый установился. К примеру В ОД и ВК вместо стандартной рекламы, левая была.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )

TS Magic Player занимается Поделитесь опытом создания крупных Спрашиваем и отвечаем по

M

0

Militi

8 сентября 2015, 19:34

#674

Добрый вечер! Вот уже пару дней внимательно слежу за темой, но не могла не отписаться. Есть сайт, трафик был 28-36 тыс в день.

1 сентября торжественно нас банит Гугл с пометкой "маскировка и скрытая переадресация".

Убрали с сайта всю всплывающую рекламу (она, каюсь, была), кнопки Pluso, комменты Cackle, поставили защиту, о которой глаголит эта тема, разрешили домены только тех партнеров, с которыми работаем уже с 2007-2010 года, в которых уверены.

Вчера отправили повторно запрос вернуть и снять ручную блокировку, пришел ответ "Мы проверили сайт http://www.paparazzi.ru/ и пришли к выводу, что он по-прежнему нарушает рекомендации по обеспечению качества.".

Но еще поганее то, то даже при отсутствии на сайте всплывающих окон и сторонних виджетов, переходы НАШИХ юзеров на сайты аля

не прекратились. Откуда в принципе берется вся эта дрянь и почему любимый Гугл пишет про том, что у нас по сей день "не качественный сайт", если мы сняли то, что ему не нравилось?

Сайт старый, контент пишем сами, ничего не парсим, ссылки не продаем, не покупаем, мы даже трафик уже как года два перестали покупать, потому что стали нищими..а тут еще и это.

нарушены рекомендации Google по Хелп, нужна помощь. Маскировка Ручные санкции от гугла

S

88

Swir

8 сентября 2015, 19:48

#675

Redbaron_chaos:
Что там смотреть то. Сайт рекламой весь завешен, тизеры и баннеры, реклама подменяется.
Сам в прошлом году такую заразу хватанул, в Лисе плагин левый установился. К примеру В ОД и ВК вместо стандартной рекламы, левая была.

Девственник Кант после ночи, проведённой с девицей - "Масса смешных, суетливых движений — не больше". Но я когда-то решил перепроверить. С Кантом не согласен 😂.

L

351

Ladycharm

8 сентября 2015, 21:03

#676

Swir:
как это выглядит.

Вы не одиноки в своём желании - один из примеров.

1

1774

LEOnidUKG

9 сентября 2015, 06:20

#677

Откуда в принципе берется вся эта дрянь

Из разрешений браузера юзерей на вашем сайте.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/

W

51

webbomj

11 сентября 2015, 12:37

#678

Ilekor:
Вот, готовый CSP для большинства сайтов

Google (Youtube Api Adsense Analytics) Yandex Mail.ru Twitter FB VK OK.ru HIT.ua
Счетчик li.ru не ставил, думаю сами сможете

Вставлять в основной файл php сайта или движка

куда это в вордпресс вставлять?

239

D.iK.iJ

12 сентября 2015, 15:22

#679

Не могу понять, это действительно домен и скрипт Фейсбука и зачем он нужен?

blocked-uri: https://connect.facebook.net/
violated-directive: script-src
original-uri: http://connect.facebook.net/ru_RU/sdk.js

---------- Добавлено 12.09.2015 в 21:50 ----------

Да, еще вот это что?

referrer: https://www.google.com.ua/
violated-directive: script-src
effective-directive: script-src
blocked-uri: blob
source-file: blob
line-number :10, column-number :248, status-code :200

Адаптивный дизайн в 2 строчки ( https://dikij.com/wm/adaptaciya-saytov.php ). + Принимаю заказы любой сложности ( https://searchengines.guru/ru/forum/926323 ). 💎 Еще я делаю классные кулоны с опалами ( https://mosaicopal.ru/ ).

1774

LEOnidUKG

13 сентября 2015, 12:04

#680

Кстати, вот интересное расширение для хрома:

https://chrome.google.com/webstore/detail/teaserbz/hlfmaocjcnngilccakjonpgccdgmleif?hl=ru

Просто и легко.

Все что нужно знать о DDоS-атаках грамотному менеджеру

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Настройка CSP - Content Security Policy