Настройка CSP для каждого сайта в отдельности - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

L

351

Ladycharm

19 ноября 2015, 23:04

#781

gstatic.com - это CDN Google, но его могут использовать не только сам Гугль(для Адсенса), но и пользователи:

https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcRFnUO_-IKEVcIlnDoAvhDArrI7r97eCgYiUQyrTddw6D3b3Psj2w

https://encrypted-tbn1.gstatic.com/images?q=tbn:ANd9GcQ4vKPO1xjY4GX3F6eBdqFqB5pPY8BVQDaKIhgH_f9P4nN7LDBe

Код 404 - картинка/скрипт/шрифт не найден на сервере, CSP тут ни при чём.

239

KrutE

21 ноября 2015, 10:32

#782

Парни, можете скинуть актуальную настройку по CSP?

1776

LEOnidUKG

21 ноября 2015, 10:40

#783

KrutE:
Парни, можете скинуть актуальную настройку по CSP?

Что такое актуальная?! Она настраивается для каждого сайта в отдельности.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/

239

KrutE

21 ноября 2015, 11:05

#784

имеются ввиду движки сайтов или урлы, куда траф убегает?

Z0

831

ziliboba0213

21 ноября 2015, 11:08

#785

KrutE:
имеются ввиду движки сайтов или урлы, куда траф убегает?

А при чем тут куда убегает, если настраивать надо только те домены, которые вы разрешаете, а не запрещаете 🍿

1776

LEOnidUKG

21 ноября 2015, 11:28

#786

KrutE:
имеются ввиду движки сайтов или урлы, куда траф убегает?

Вы на сайте составляете БЕЛЫЙ список, а не чёрный т.е. правила, запрещено всё, что не разрешено.

113

Pi4nic

26 ноября 2015, 21:22

#787

Странная ситуация.

После установки и настройки, первый день левые переходы отсутствовали полностью, но сейчас стали пробиваться...

239

KrutE

28 ноября 2015, 08:10

#788

Вы на сайте составляете БЕЛЫЙ список, а не чёрный т.е. правила, запрещено всё, что не разрешено.

вот его я как раз и хотел увидеть

разрешать только adsense

L

351

Ladycharm

28 ноября 2015, 11:54

#789

KrutE:
вот его я как раз и хотел увидеть
разрешать только adsense

Вот тут fliger собрал актуальные директивы для Адсенса.

2

G

98

Gwendi

3 декабря 2015, 08:38

#790

Скажите, пожалуйста, просматриваю данные после настройки CSP в сервисе report-uri.io.

Ссылка для теста имеет вид: https://report-uri.io/report/my-name1/reportOnly — данные по этому сайту вижу.

Ссылка по другому сайту: https://report-uri.io/report/my-name2, в коде начало имеет вид:

"Content-Security-Policy:"

Но, если по первому сайту я вижу данные в указанном выше сервисе, то по второму сайту, на котором код запущен не в тестовом режиме, я данных не вижу. (посещаемость на сайте есть, при тестировании с reportOnly данные получались. Но когда reportOnly удалила, то и данных нет.)

В чем может быть ошибка?

Обман пользователей мобильного интернета Content Security Policy (CSP)- Zaycev.net - блокировка в

Что делать, если ваша email-рассылка попала в спам

Open AI тестирует память для ChatGPT

Настройка CSP - Content Security Policy