- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Ladycharm, подскажите, пожалуйста.
Я добавила в .htaccess код из вот этого поста
получила вот такую ситуацию в консоли: скрин в аттаче
Сайт на Wordpress. Два дня читала и пробовала, но не получилось. И как лучше: вставлять код в header, или в .htaccess?
Лучше в .htaccess
Ladycharm, а как можно с вами связаться на счёт профессиональной помощи в настройке CSP? Заранее спасибо за ответ!
получила вот такую ситуацию в консоли: скрин в аттаче
По поводу ошибок:
- домен connect.facebook.net надо добавить в connect-src (у вас используются виджеты фэйсбука 2-х типов, и, тот, который HTML5 - использует connect)
- алерт(про default-src) можно проигнорировать, это просто предупреждение о бессмысленности использования Content-Security-Policy-Report-Only при неуказанном report-uri - "они" не понимают, что блокировки можно посмотреть в консоли браузера :)
Если добавить report-uri - этого алерта не будет, после перевода CSP в боевой режим (Content-Security-Policy) - его не будет тоже.
И как лучше: вставлять код в header, или в .htaccess?
Правильнее всего заголовки выдавать движком сайта на PHP. Можно проверять UserAgent и:
- не отдавать CSP "проблемным" браузерам
- давать другую CSP для мобильных устройств
- давать другой заголовок («X-WebKit-CSP» или «X-Content-Security-Policy»)
Удобно вносить исправления и можно проводить различные эксперименты.
В .htaccess очень неудобно вносить правки и любая ошибка в .htaccess -> ошибка сервера 502.
htaccess-а не бывает на серверах под nginx, плюс, некоторые хостеры не позволяют рулить заголовками через htaccess.
Поэтому, для WordPressa - перспективнее вставлять в header.php, но, иметь ввиду, что при смене темы он перезапишется на новый.
PS: Gwendi, прочитайте личку!
вопрос: как настроить CSP для твиттера, чтобы не блокировал ссыль виджета социальных кнопок http://platform.twitter.com/widgets/tweet_button.a428ab2e859e8008e0df5404770eb017.ru.html#_=1445344482747&count=vertical&dnt=false&id=twitter-widget-0&lang=ru&original_referer=http%3A%2F%2Fsite.com%2Fabout%2F&size=m&text=%D0%9E%20%D1%81%D0%B0%D0%B9%D1%82%D0%B5%3A%20http%3A%2F%2Fsite.com%2F%3Fp%3D565&type=share&url=http%3A%2F%2Fdsite.com%2Fabout%2F
такой вариант не работает:
<ifModule mod_headers.c>
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.twitter.com twitter.com https://twitter.com https://*.twitter.com http://twitter.com http://*.twitter.com;"
</IfModule>
вопрос: как настроить CSP для твиттера, чтобы не блокировал ссыль виджета социальных кнопок
CSP для виджетов и кнопок Твитетра:
img-src 'self' *.twimg.com https://*.twimg.com *.twitter.com https://*.twitter.com;
script-src 'self' 'unsafe-inline' *.twimg.com https://*.twimg.com *.twitter.com https://*.twitter.com;
style-src 'self' 'unsafe-inline' *.twitter.com https://*.twitter.com;
спасибо, получилось в таком формате:
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval' *.twimg.com https://*.twimg.com *.twitter.com https://*.twitter.com *.facebook.com https://*.facebook.com *.facebook.net *.tynt.com *.yandex.net https://site.yandex.net https://yastatic.net yastatic.net an.yandex.ru awaps.yandex.ru vk.com https://vk.com mc.yandex.ru clck.yandex.ru yandex.st https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' https://*.googleapis.com www.youtube.com https://www.youtube.com *.gstatic.com; frame-src 'self' *.facebook.com https://*.facebook.com bcp.crwdcntrl.net yastatic.net awaps.yandex.ru vk.com https://vk.com https://login.vk.com yandex.st www.youtube.com https://www.youtube.com *.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com *.google.com mc.yandex.ru www.youtube.com; connect-src 'self' mc.yandex.ru www.google-analytics.com https://www.google-analytics.com;"
Header set Content-Security-Policy "frame-src 'self' *.twitter.com https://*.twitter.com;"
Header set Content-Security-Policy "img-src 'self' *.twimg.com https://*.twimg.com *.twitter.com https://*.twitter.com;"
Header set Content-Security-Policy "style-src 'self' 'unsafe-inline' *.twitter.com https://*.twitter.com;"
</IfModule>
webmaster domainer, если отдавать несколько заголовков Content-Security-Policy - броузер их не суммирует и отрабатывает только последний из них. То есть, в вашем случае, будет работать только заголовок Header set Content-Security-Policy "style-src 'self' 'unsafe-inline' *.twitter.com https://*.twitter.com;"
Надо делать всё в одном Header set Content-Security-Policy "..."
- алерт(про default-src) можно проигнорировать, это просто предупреждение о бессмысленности использования Content-Security-Policy-Report-Only при неуказанном report-uri - "они" не понимают, что блокировки можно посмотреть в консоли браузера :)
Если добавить report-uri - этого алерта не будет, после перевода CSP в боевой режим (Content-Security-Policy) - его не будет тоже.
как правильно прописать ссылку на . "report-uri ?
С помощью CSP можно ли как то блокировать работу adblock?