Настройка CSP - Content Security Policy

L
На сайте с 07.12.2007
Offline
351
#791
Gwendi:
В чем может быть ошибка?

/my-name1/ и /my-name2/ - это ТОКЕН, он генерится автоматически или вы можете перегенерировать его у себя в аккаунте. Но в одном аккаунте будет работать только один токен, после генерации нового старый работать перестаёт.

Сделано это, наверное, чтобы вам не мусорили чужими репортами - вы просто меняете токен.

У меня на тестовом аккаунте всё работает и с Report-Only и без него, только что проверила.

Они в ФАКе рекомендуют слать все отчёты на один аккаунт с одним токеном, и разгребать потом выборкой по uri/домену на странице отчётов. Это я тоже проверяла - работает.

PS: Сервису report-uri.io - полгода от роду, о нём ещё толком никто не знает кроме вас, меня и его автора Scott Helme :)

PPS: Поскольку последний работает в Британской компании по IT-безопасности, ясно, зачем он создал этот сервис - им нужна статистика по вредоносным плагинам.

G
На сайте с 18.06.2008
Offline
97
#792
Ladycharm:

PS: Сервису report-uri.io - полгода от роду, о нём ещё толком никто не знает кроме вас, меня и его автора Scott Helme :)

Поняла, видимо из-за того, что я сгенерировала новый токен, перестал работать прежний. Ок, буду смотреть.

Меня за это не побьют :o , что я написала про этот сервис )):) (совершенно секретно)

N
На сайте с 08.04.2008
Offline
90
#793
pavel419:




---------- Добавлено 19.02.2015 в 16:32 ----------

Кстати, этот советник скорее всего, даже не распространяется, он вроде как в новый яндекс браузер встроен, вот он и лезет на все сайты подряд...

Как отфильтровать по доменам, как на картинке? Научите пожалуйста 😂

nevsedoma.com.ua (http://nevsedoma.com.ua)
KB
На сайте с 10.08.2006
Offline
164
KGB
#794
nevsedoma:
Как отфильтровать по доменам, как на картинке? Научите пожалуйста

На какртинке похоже скриншот тоталкомандер

AQ
На сайте с 16.12.2008
Offline
84
#795

Если CSP настроить через мета тег, эффект будет таким же?

L
На сайте с 07.12.2007
Offline
351
#796

Отчёты слать не будет, тк мета-тэг не поддерживает директивы report-uri, frame-ancestors и sandbox (и не будет их поддерживать по принципиальным причинам). Поэтому Content-Security-Policy-Report-Only тоже не будет работать.

То есть, вся отладка CSP в этом случае - только по алертам в консоли браузера, этого недостаточно.

AQ
На сайте с 16.12.2008
Offline
84
#797

Ясно спасибо, просто сайт на укозе, и единственный способ это настроить через мета тег!

У меня на сайте есть метрика, ли.ру, и гнездо.. Правильно ли я настроил CSP?

<meta http-equiv="Content-Security-Policy" content="default-src 'self' 'unsafe-inline' https://mc.yandex.ru ;

style-src 'self' 'unsafe-inline' http://s103.ucoz.net ;

script-src 'self' 'unsafe-inline' 'unsafe-eval' counter.yadro.ru *.yandex.ru yandex.st *.liveinternet.ru http://s103.ucoz.net http://news.gnezdo.ru https://mc.yandex.ru https://*.yandex.ru ;

img-src 'self' data: counter.yadro.ru *.yandex.ru *.liveinternet.ru http://zn2.gnezdo.ru https://mc.yandex.ru http://s103.ucoz.net ;

connect-src 'self' mc.yandex.ru ; object-src 'self' an.yandex.ru https://an.yandex.ru; "/>

Или надо обязательно еще frame-scr 'self' прописывать?

V
На сайте с 08.12.2015
Offline
5
#798

Тоже пришлось столкнуться с этой заразой. В один прекрасный день гугл прислал сообщение о блокировке из-за скрытой переадресации.

Сейчас настроил CSP следующим образом:


<IfModule mod_headers.c>
Header set Content-Security-Policy "
default-src 'self'
https://mc.yandex.ru
http://awaps.yandex.ru
http://www.google-analytics.com
http://pagead2.googlesyndication.com
https://pagead2.googlesyndication.com
https://googleads.g.doubleclick.net;
object-src 'self';
style-src 'unsafe-inline' *;
frame-src 'self'
mc.yandex.ru
http://googleads.g.doubleclick.net
https://googleads.g.doubleclick.net;
img-src * data:;
media-src *;
font-src *;
script-src 'self' 'unsafe-inline' 'unsafe-eval'
yandex.ru
*.yandex.ru
https://mc.yandex.ru
http://awaps.yandex.ru
yandex.st
*.yandex.st
yandex.net
*.yandex.net
http://www.google-analytics.com
http://pagead2.googlesyndication.com
https://pagead2.googlesyndication.com
http://googleads.g.doubleclick.net
https://googleads.g.doubleclick.net
top-fwz1.mail.ru
counter.rambler.ru
rotation-context.ru
*.rotation-context.ru;
report-uri /csp2.php
"
</IfModule>

На сайте стоит реклама от гугла, яндекса, леди кеш и ещё что-то (забыл как называется :)). В .htaccess всё, естественно, в одну строчку. Ссылки прописывал по отчёту csp.php, поэтому такое разнообразие вариантов написания ссылок. Сейчас в отчёте изредка проскакивает http://awaps.yandex.ru, пока не знаю, как его пропускать.

Если кто тоже блокирует по отчёту будьте внимательны - иногда проскакивают ссылки очень похожие на нормальные, но отличаются от них на пару символов. Не добавьте чего лишнего.

Заразы всякой блокируется много (по моим ощущениям).

Сейчас буду в гугл писать и буду надеяться, что на этот раз разблокируют.

A
На сайте с 16.05.2013
Offline
19
#799

Всем доброго дня!

<?php
header("HTTP/1.0 204 No Response");
$d = getdate();
$file = "$d[mday].$d[mon].$d[year].".'report.txt';
if($json_data = json_decode(file_get_contents('php://input'))){
$data = json_encode($json_data)."\n";
file_put_contents($file, $data, FILE_APPEND | LOCK_EX);
}
$file1 = "$d[mday].$d[mon].$d[year].".'blocked-uri.txt';
$csvLine = '';
$data1 = file_get_contents('php://input');
if ($array = json_decode($data1, true)){
$csvLine .= "blocked-uri: ".$array['csp-report']['blocked-uri']."\n";
file_put_contents($file1, $csvLine, FILE_APPEND);
}

- теперь есть отчеты по датам.

Столкнулся с тем когда отчет активно пополняется, то каждая новая запись подтормаживает систему. И за счет тах задержек, именно в момент записи не срабатывает защита.

за счет разбивки по датам - файл становится меньше - в итоге перезапись происходит быстрее...

писал ранее на оборот.ру - может найдете для себя полезную информацию по этой теме.

V
На сайте с 08.12.2015
Offline
5
#800

Настроил CSP и отправил повторный запрос на проверку сайта - ответили, что сайт не прошёл повторную проверку.

Есть ли у кого-нибудь опыт отмены мер, принятых вручную? Как долго это может тянуться?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий