Настройка CSP - Content Security Policy

Если у вас возникает блокировка - добавляйте его в object-src, домен принадлежит Гугл. За 2 месяца такая блокировка в этой директиве возникла по паре раз на 2-х сайтах из 20-ти.

Можете сделать object-src *;

Пока в AdSense разрешается вставлять flash, а там всякая гадость возможна. Поэтому лучше для своего сайта отфильтровать. НО как я читал, гугл уже активно с этим борется и переводит всю рекламу на html5

Судя по тому, какое дерьмо лезет через object-src, - не очень хорошее решение.

Да, object-src * - это просто из серии "вредных советов". Статистика зафиксировала более 3900 доменов, которые работают через objrct-src, вот небольшой принтскрин из этого "мусора":

Совершенно верно. Одно дело - разрешить все картинки, тут проблем не вижу. Но как можно разрешать всё из object-src? Просто нет слов.

Не совершенно и не верно. Это лишь ваше сугубо личное мнение. У меня другой опыт и мнение насчёт этого. Всё, что могут туда запихать "УЖАСНОГО" это flash-ку, которая в САМОМ популярном браузере мира гуглхром, теперь так просто не проигрывается. А скоро умрёт вовсе.

Многие чуть забывают, ради чего делается защита и что нужно от неё нам.

Я вам расскажу ещё ужасную тайну, только не кому. Ок? Хром своим расширением выдаёт полной разрешение поверх вашей защиты:

Request URL:chrome-extension://bfigpnfillonohmonbadflnapjejfkgm/script.js

Content-Security-Policy:script-src 'self' blob: filesystem: chrome-extension-resource:;

О да! А так хотелось adblock заблокировать да? 😂

Поэтому самое УЖАСНОЕ, у пользователей загрузится в любом случаи. Я лично знаю программу универсальный переводчик, в котором есть галочка, которую без денег не снять. Она подставляет видео рекламу свою на ютуб ролики. Вот такая печаль беда.

"2-х недельный опыт" - это сильно!

1. Расширю горизонты вашего опыта: через тэг <object> грузится не только флэш, в HTML5 через object грузятся изображение, аудио, видео, ActiveX, PDF и Flash файлы. Можете посмотреть, что CSP в директиве object-src, например, вовсю блокирует картинки GIF/JPG/PNG.

2. В Хроме всё нормально проигрывается, даже flash-плеер ставить не надо. Сие легко проверяется на заблокированных в CSP url из object-src: SWF, ещё SWF, MP4.

Браузер Хром 45.0.2454.93 m, проблем с "проигрыванием" нет, если специально не убрать галочку на странице chrome://plugins/

Более того, Хром сам автоматически обновляет этот свой встроенный Adobe Flash Player.

3. Вот когда флэш умрёт, тогда и начнём похороны. А бежать впереди паровоза - плохая идея.

Отдельные личности, похоже, вообще не понимают как работает CSP и от чего на самом деле нужно защищаться.

Вау! А мужики-то из developer.chrome.com и не знают, что их Хром вытворяет!

Они наивно полагают, что для расширений хрома действует своя отдельная CSP, которую надо указывать для каждого расширения в его манифесте version 2!

И в "CSP для расширений Хрома" вообще отключен eval в принципе.

И почему же в новом манифесте V2 для расширений Хрома CSP по-дефолту установлена в script-src 'self'; object-src 'self'? Через object же ничего вредного не лезет?

У меня конечно королева Ladycharm в игноре. Но спрошу у людей, она опять не может общаться в виде диалога, а просто рвёт одно место с переходом на крик, что она пуп земли и всё знает?

LEOnidUKG, вообще аргументация у неё довольно детальная. Главный аргумент - чистая подпись )

Ladycharm, вы где-то изложили свои достижения в настройке CSP..? интересный бы вышел материал.

Аргументация из области: Питаться нужно только такими продуктами, пить воду только такую-то, не материться, не курить и не пить, чтобы жить долго и счастливо.

Аргументы как статистика. Есть лож, есть откровенная ложь, а есть статистика.

Вот только обычным пользователям от этого не холодно и не жарка. Слишком точная защита будет обходится слишком "дорого" по времени т.к. партнёрки могут внедрять что-то новое, менять домены, менять методы вставки баннеров и т.д.

Мы боремся с левыми переходами, в основном, и наглыми скриптами. Или мы тут вдруг стали бороться, за то, чтобы защитить юзера ЧИСТО на своём сайте? Это бессмысленная затея.