Настройка CSP - Content Security Policy

Это строковые картинки.

---------- Добавлено 04.10.2015 в 12:02 ----------

Сомневаюсь, что у вас доход станет выше.

а что такое строковая картинка? объясните пожалуйста.

еще встречается такой url

Это инлайн-данные по схеме data: URL из RFC 2397. Через схему data:URL можно вставлять на страницу: скрипты и любой html-код, документы Word/PDF/Excel, картинки, стили, шрифты (любые данные, которые может исполнить/показать браузер).

Вредоносные плагины внедряют таким образом свои яваскрипты на страницы.

CSP отчёты присылаются на report-uri моментально, далее уже всё зависит от вашего "ftp". Но должно быть тоже моментально.

В общем, такие глюки бывают, поскольку на сегодня ещё не все браузеры корректно поддерживают CSP.

Для однозначного ответа надо смотреть как часто это проявляется и на каких ЮзерАгентах.

Да, так надо указывать по стандарту CSP, а как делает Vodoleev: http://*.google-analytics.com https://*.google-analytics.com - это "по-жизни".

Дело в том, что мобильный Safari имеет баг в реализации CSP и не понимает домен, если протокол не указан в явном виде.

Поэтому у Vodoleev-а в отчётах не будет ошибок от мобильного Сафари.

Доход - увеличится, но не у вас, а у тех, кто использует данные с этого счётчика.

Что-то я не очень понял. Стоит ли вставлять в конфиг data: URL, если да, то куда именно?

1. Вставьте на страницу:

<script src="data:text/javascript;base64,YWxlcnQoJ0hpLCBEaWdkdWcnKTsgd2luZG93LmxvY2F0aW9uLmhyZWY9J2h0dHA6Ly9tYWlsLnJ1Jzs="></script>

alert('Hi, Digdug'); window.location.href='http://mail.ru';

2. Вставьте на страницу

<img src="data:image/jpg;base64,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">

увидите картинку фотоаппарата

Схема data:URL работает как будто у тега указан реальный url: src='http://site.com', только данные браузер берёт из локальной строки в base64. Такое иногда используется для мелких картинок в стилях.

Только если ваш сайт(или что-либо легальное на нём) использует схему data:url. Открываете в той директиве, которая регулирует соответсвующий тэг:

img-src для картинок

script-src для скриптов

frame-scr для фреймов

font-src для шрифтов

и тп.

Спасибо за развернутый ответ. У меня на сайте: Метрика, Аналитикс, РСЯ, Адсенс, Лайвинтернет, кнопки share от Яндекса, блоки "подписаться" от ВКонтакте и Фейсбука, jquery с cdn Гугла. Все.

Как посоветуете по опыту, стоит ли разрешать data:url? Сейчас data:url у меня разрешен в: media-src, img-src, style-src, font-src. Я так понимаю, только если data:url разрешен в script-src злоумышленники могут загрузить скрипт, или не факт?

Из всего вышеперечисленного, data:url использует Я.Метрика в картинках, вам достаточно открыть data: в img-src.

Крайне редко data:url может использоваться движком сайта в стилях и шрифтах - это сразу видно при заходе на сайт в консоли браузера (комбинация клавиш Ctrl + Shift + I) будет выскакивать ошибка Content Security Policy в стилях/шрифтах. Вот картинка как выглядит блокировка CSP в консоли Хрома.

Тогда откроете в style-src или font-src, где будет появляться блокировка.

В media-src data:url практически не используется - большие объёмы данных кодировать в base64 очень расточительно.

Да, data:url в script-src используют только злоумышленники, это помогает им обходить Адблок. Нормальным людям нет смысла скрывать свои яваскрипты, увеличивая их размер на 30% (накладные расходы от base64).

Решил и я попробовать включить у себя CSP. Был удивлен - два репорта в секунду в логи падают.

И до конца не понятно что делать с картинками - в блокировку часто попадают промерочные пиксели разных DSP. Всех в white не засунешь :(

Есть и обратные наблюдения - после того, как я убрал из csp twitter (я его виджеты не использую) - оказалось что они у меня есть. Просто не мои.

Так что и "белые" сайты могут быть не до конца белыми :(

theKashey, открывайте только трекинг-пикселями от ваших партнёрок и их субпартнёров (отследить последних бывает весьма проблематично). Отстальные - от вредоносных плагинов.

Кроме твиттера, у вас на сайте будет VK, одноклассники, Метрика и Аналитика, естественно, тоже не ваши. Метрикой и Аналитикой "местечковое" малваре собирает стату работы. Виджеты Твиттера/ОК/ВК - скорее всего от легальных плагинов.

Этих DSP, доступных через РСЯ или Adsence - сотни. Половину и не признаешь.

У меня там даже google+ есть, но твиттера нет.

Кстати - еще переход на https хорошо от этой гадости лечит. Тут и необходимость этой гадости самой по https работать, и различные магии Service Workers.