Настройка CSP - Content Security Policy

Нет, нельзя. Иначе бы смысла adblock не было.

Простите, если туплю... Читал много страниц, но уже мозг клинит... Я столкнулся с этими говенными marketgig и ad-tizer. Решил врубить через htacess CSP. Насмотрелся примеров, но не понял одного:

Если директива default-src определяет политику по умолчанию для всего, для чего она не задана в явном виде, то можно ли использовать ТОЛЬКО эту директиву (остальные script-src, style-src и т.д. просто опустить), если у меня на сайте фактически только счетчики берут что-то снаружи, все остальное (картинки, стили, скрипты) все лежит на моем сайте? Я в итоге написал только это:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *.trafaret.net trafaret.net *.kaavain.fi kaavain.fi *.schablonhuset.se schablonhuset.se *.schablonenreich.de schablonenreich.de *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.facebook.net *.google.com *.yadro.ru *.facebook.com yastatic.net paypal.com *.paypal.com *.uniteller.ru uniteller.ru

И то не уверен про пэйпал и юнителлер - это агрегаторы карточных платежей, на них просто переход и все их скрипты только у них и работают...

Кроме 'self' указал в явом виде свои хосты, вроде как советуют для совместимости... Прогнал в Хроме, хром заблокированных не показал скриптов...

Адблок (и все другие плагины) работают на внутренней вкладке (странице) браузера, на неё ваша CSP не действует, так же как она не действует и на остальные вкладки браузера. CSP может заблокировать только то, что на вашей странице, но туда Адблок ничего не вставляет.

Для Адблока действует его собственная CSP, которая прописана в его манифесте (для Хрома).

А вот вредоносные плагины подмены рекламы вынуждены вставлять её на ваши страницы, поэтому их можно заблокировать.

PS: В старых версиях Хрома - Адблок можно было заблокировать и без CSP. Но, увы, Хром обновляется автоматически.

Можно. Только надо иметь ввиду, что некоторые пока мало используемые директивы типа: plugin-types, form-action и sandbox не инициируются из default-src.

Да, они не нужны, но можете их и оставить, эти домены вряд ли будут распространять заразу.

Working Like A Sharm! Сегодня ни одного перехода с моего сайта на говно типа маркетгида! Ни единого. Уфф... как говорится....

Сайт вроде работает, думаю не должно быть подвохов? Открыл консоль в Хроме и полазил по всем страничкам, прошел путь оформления заказа - ни одной красной строчки....

Небольшая предыстория – новый KIS (2016) при включении модуля «Анти-Баннер» добавляет на все страницы (!) скрипт вида:

<script type="text/javascript" src="http://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js" charset="UTF-8"></script>

Почему и зачем он это делает – тема не для этого топика. Но! Заметил одну особенность – антивирус Касперского «научился» добавлять в правила CSP (директивы connect-src, script-src и img-src) свои домены http://ff.kis.scr.kaspersky-labs.com

Значит, и разработчики «левых» плагинов вполне могут это сделать?

Вопрос – а как явно запретить правилами CSP подгрузку ненужных доменов? Есть такая возможность?

Могут и добавляют, но только в Google Хроме, остальные браузеры - безопасны.

В том то все и дело, что скрипт от каспера добавляет в правила CSP свои домены в браузере Firefox.

Значит - и Firefox уже не безопасен в этом плане...

В последние годы разработчики многих сайтов сошли с ума, испохабив их. У меня критерий простой: если сайт не открывается нормально в Opera 9.63, то это говносайт, а его разработчик - продвинутый даун. Гугл в этом смысле впереди планеты сей, хорошо еще, на его почте есть легкий вариант сайта. Но почте Гугла пришел кирдык, поскольку старые версии The Bat! ее не скачивают - сертификат они, видишь ли, поменяли.

Это примерно так: приехал ты на бензозаправку, хочешь бензина налить, а тебе отвечают. Мы установили новые колонки, они не подходят к вашему автомобилю - меняйте автомобиль на самый современный. Интернет движется в этом направлении - масштабная дебилизация. Уже нет той почты Mail.ru, которая была в первые годы ее существования, нет того Яндекса, Гугла. Некоторые банки движутся в этом же направлении, теряя клиентов. Дауны соревнуются в сайтостроении, делая их красивыми с разными кнопочками-плюшечками... И не понимают, что люди в Интернет идут за информацией, которую хотят получить очень быстро с любого железа за пару кликов. И на красивости им глубоко насра... наплевать.

Хех. Мой сайт работает под ИЕ6 в Виндус ХР. Но вопрос не в этом.

По результатам наблюдения в течение 3-х дней обнаружил ОДИН странный переход на сайт, которого не знаю. При том, что без настроек CSP переходов было 10-15.

Платон мне ответил так:

К сожалению, не могу прокомментировать, кто и с какой целью осуществляет подобные посещения. Но при разработке наших алгоритмов мы учитывали такие ситуации, поэтому возможность их влияния на позиции того или иного сайта минимизирована. Таким образом, если Ваш сайт продвигается в интересах пользователей, не используя каких-либо техник, направленных на обман поисковых систем, то беспокоиться по поводу таких посещений Вам не стоит: на присутствие Вашего сайта в поиске они повлиять не должны.

Очень скользкая формулировка "присутствие"... При моих ТОП1-3 по всем НЧ и ВЧ, мне "присутствия" явно мало :-)

Пока это было замечено только в браузерах на базе Chromium, хотя для FF есть плагин Rewrite HTTP Headers (JS), сделанный на базе moz-rewrite.

У меня отлично блокируются домены Касперского:

хотя, по-уму, эти расширения Сафари надо бы открывать.

KIS внедряется на уровне ядра Windows и может контролировать трафик ещё до того, как он попадает в браузер. Может, он там хозяйничает с добавлением заголовков, ставя что-нибудь типа внутреннего прокси-сервера для эмуляции CORS на стороне клиента.

А на https-трафике он тоже добавляет домены в CSP? Так как https расшифровывается уже в самом браузере.