Настройка CSP - Content Security Policy

A
На сайте с 02.07.2014
Offline
52
#801

Подскажите кто знает что надо прописать в CSP чтобы Вебвизор Яндекса работал ?

При его работе идут запросы вида: b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net

Запихал это *.mtproxy.yandex.net во все части CSP, все равно получается, что первая страница сессии открывается нормально, а когда чел в сессии переходит по ссылке на другую страницу сайта, то я ее вижу в вебвизоре без стилей и графики, а в отчете CSP получаю:

csp-report":{"document-uri":"http:\/\/b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net\/viking?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","referrer":"http:\/\/aede8ed32dbf774e602708ea5ea8b387.mtproxy.yandex.net\/?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","violated-directive":"style-src

...

"blocked-uri":"http:\/\/имя сайта","status-code":200

ну и тоже самое по img-src, script-src, connect-src

Хотя *.mtproxy.yandex.net прописано везде

Как с этим можно побороться ?

p.s. и еще кто нибудь знает что такое "blocked-uri":"asset" ? переодически выскакивает на запрос разных страниц сайта

"violated-directive":"script-src

K
На сайте с 28.07.2015
Offline
37
#802
anstrem:
Подскажите кто знает что надо прописать в CSP чтобы Вебвизор Яндекса работал ?

При его работе идут запросы вида: b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net
Запихал это *.mtproxy.yandex.net во все части CSP, все равно получается, что первая страница сессии открывается нормально, а когда чел в сессии переходит по ссылке на другую страницу сайта, то я ее вижу в вебвизоре без стилей и графики, а в отчете CSP получаю:


csp-report":{"document-uri":"http:\/\/b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net\/viking?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","referrer":"http:\/\/aede8ed32dbf774e602708ea5ea8b387.mtproxy.yandex.net\/?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","violated-directive":"style-src
...
"blocked-uri":"http:\/\/имя сайта","status-code":200

ну и тоже самое по img-src, script-src, connect-src

Хотя *.mtproxy.yandex.net прописано везде

Как с этим можно побороться ?

p.s. и еще кто нибудь знает что такое "blocked-uri":"asset" ? переодически выскакивает на запрос разных страниц сайта
"violated-directive":"script-src

У меня так и все работает:

<ifModule mod_headers.c> 




Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *.мойсайт1.net мойсайт1.net *.мойсайт2.fi мойсайт2.fi *.мойсайт3.se мойсайт3.se *.мойсайт4.de мойсайт4.de *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.facebook.net *.google.com googleapis.com *.googleapis.com *.gstatic.com gstatic.com *.yadro.ru *.facebook.com yastatic.net сайтплатежки1.com *.сайтплатежки1.com *.сайтплатежки2.ru сайтплатежки2.ru мойсайт5.ru *.мойсайт5.ru"



</IfModule>
A
На сайте с 02.07.2014
Offline
52
#803
Kaavain:
У меня так и все работает:

Странно, а у меня вебвизор все показывает без картинок и стилей.

Тех. поддержка Метрики ответили (явно не очень уверенно) чтобы попробовал webvisor.com добавить в политики CSP

Добавил сразу во все секции. Результат очень странный.

Теперь без проблем стало грузиться больше страниц в вебвизоре, т.е. совет как бы немного помог, но не на 100%, т.к. все таки не все страницы.

Т.е. какие то страницы сайта отображаются полностью как на сайте, а какие то по-прежнему выдает без стилей и графики... хм, может дело то вообще не в CSP ?

P.S. Проверил. Все таки дело в CSP. На одной и той же сессии пользователя в вебвизоре - отключаешь CSP - наблюдаешь как он мечется по страницам сайта и все они отображаются идеально.

Включаешь CSP - получаешь больше половины страниц в той же сессии вебвизора в виде голого текста без форматирования и картинок...

Т.е. эффект то на лицо, но в report-uri ничего не сыпется... вот ведь зараза :(

Проблема еще в том что вебвизор же открывается в отдельном окне браузера без возможности добраться в нем до консоли и отладчика... поэтому ошибки непонятно как увидеть

В принципе оно понятно что фиг с ним с вебвизорм, в конце концов когда возникает потребность посмотреть сессии можно CSP и отключить временно.

Но непонятен сам принцип проблемы и как отладить - очевидно что CSP что то блокирует, но невозможно понять что и почему...

K
На сайте с 28.07.2015
Offline
37
#804
anstrem:
Странно, а у меня вебвизор все показывает без картинок и стилей.
Тех. поддержка Метрики ответили (явно не очень уверенно) чтобы попробовал webvisor.com добавить в политики CSP
Добавил сразу во все секции. Результат очень странный.
Теперь без проблем стало грузиться больше страниц в вебвизоре, т.е. совет как бы немного помог, но не на 100%, т.к. все таки не все страницы.
Т.е. какие то страницы сайта отображаются полностью как на сайте, а какие то по-прежнему выдает без стилей и графики... хм, может дело то вообще не в CSP ?

P.S. Проверил. Все таки дело в CSP. На одной и той же сессии пользователя в вебвизоре - отключаешь CSP - наблюдаешь как он мечется по страницам сайта и все они отображаются идеально.
Включаешь CSP - получаешь больше половины страниц в той же сессии вебвизора в виде голого текста без форматирования и картинок...
Т.е. эффект то на лицо, но в report-uri ничего не сыпется... вот ведь зараза :(
Проблема еще в том что вебвизор же открывается в отдельном окне браузера без возможности добраться в нем до консоли и отладчика... поэтому ошибки непонятно как увидеть

У меня была подобная заморочка с Вебвизором - именно как будто стили не подгружались. Но тогдя я не использовал ЦСП, и как прошло не знаю - просто прошло само. Такое впечатление, что у фндекса там что-то в кеше застревает.

AK
На сайте с 10.04.2013
Offline
34
#805
vkulakov:
Тоже пришлось столкнуться с этой заразой. В один прекрасный день гугл прислал сообщение о блокировке из-за скрытой переадресации.

Сейчас настроил CSP следующим образом:

<IfModule mod_headers.c>
Header set Content-Security-Policy "
default-src 'self'
https://mc.yandex.ru
http://awaps.yandex.ru
http://www.google-analytics.com
http://pagead2.googlesyndication.com
https://pagead2.googlesyndication.com
https://googleads.g.doubleclick.net;
object-src 'self';
style-src 'unsafe-inline' *;
frame-src 'self'
mc.yandex.ru
http://googleads.g.doubleclick.net
https://googleads.g.doubleclick.net;
img-src * data:;
media-src *;
font-src *;
script-src 'self' 'unsafe-inline' 'unsafe-eval'
yandex.ru
*.yandex.ru
https://mc.yandex.ru
http://awaps.yandex.ru
yandex.st
*.yandex.st
yandex.net
*.yandex.net
http://www.google-analytics.com
http://pagead2.googlesyndication.com
https://pagead2.googlesyndication.com
http://googleads.g.doubleclick.net
https://googleads.g.doubleclick.net
top-fwz1.mail.ru
counter.rambler.ru
rotation-context.ru
*.rotation-context.ru;
report-uri /csp2.php
"
</IfModule>

На сайте стоит реклама от гугла, яндекса, леди кеш и ещё что-то (забыл как называется :)). В .htaccess всё, естественно, в одну строчку. Ссылки прописывал по отчёту csp.php, поэтому такое разнообразие вариантов написания ссылок. Сейчас в отчёте изредка проскакивает http://awaps.yandex.ru, пока не знаю, как его пропускать.

Если кто тоже блокирует по отчёту будьте внимательны - иногда проскакивают ссылки очень похожие на нормальные, но отличаются от них на пару символов. Не добавьте чего лишнего.

Заразы всякой блокируется много (по моим ощущениям).

Сейчас буду в гугл писать и буду надеяться, что на этот раз разблокируют.

Спасибо за код. Попытался переделать его под свой сайт... Не работает:( Не поможете? У меня вордпрес, в файл отчета не пишет и блочить не блочит, мобильный редирект по-прежнему проскакивает, уже второй сайт натянул Платон за это. Последняя надежда на этот код:o.

Вот что у меня вышло:

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' 'unsafe-eval' 'unsafe-inline' https://mc.yandex.ru http://awaps.yandex.ru http://www.google-analytics.com http://pagead2.googlesyndication.com https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net *.drivenetwork.ru drivenetwork.ru;object-src 'self' 'unsafe-eval' 'unsafe-inline' *.doubleclick.net *.gstatic.com https://*.doubleclick.net https://*.gstatic.com;

style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;

frame-src 'self' *.doubleclick.net *.googleadservices.com *.googlesyndication.com https://*.doubleclick.net https://*.googleadservices.com https://*.googlesyndication.com mc.yandex.ru http://googleads.g.doubleclick.net https://googleads.g.doubleclick.net;

img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googleapis.com https://*.googlesyndication.com https://*.gstatic.com *.liveinternet.ru;

media-src 'self' 'none';

font-src 'self' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;

script-src 'self' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com yandex.ru *.yandex.ru https://mc.yandex.ru http://awaps.yandex.ru yandex.st *.yandex.st yandex.net *.yandex.net http://www.google-analytics.com http://pagead2.googlesyndication.com https://pagead2.googlesyndication.com http://googleads.g.doubleclick.net https://googleads.g.doubleclick.net top-fwz1.mail.ru counter.rambler.ru *.drivenetwork.ru drivenetwork.ru *.liveinternet.ru;report-uri http://мой сайт.ru/csp.php"

</IfModule>

Кто может помогите сделать так чтобы код заработал. Спасибо заранее.

V
На сайте с 08.12.2015
Offline
5
#806
alex_klesiv:

Кто может помогите сделать так чтобы код заработал. Спасибо заранее.

А вы папку для отчётов создали? А права на запись для php в эту папку есть? А разрешено ли вообще исполняться файлам php в этом месте? А работает ли htaccess на вашем хостинге тем способом, которым вы пытаетесь его использовать? А не забыли ли вы точку вначале: ".htaccess"?

Это самые общие вопросы, т. к. я далеко не знаток CMS.

Также можно попробовать вручную вызвать указанный вами файл отчёта из браузера и посмотреть, нет ли ошибок.

Кстати, у меня к файлу отчёта указан относительный путь, а у вас абсолютный. Может быть в этом проблема?

Redbaron _chaos
На сайте с 12.08.2009
Offline
679
#807
vkulakov:

Кстати, у меня к файлу отчёта указан относительный путь, а у вас абсолютный. Может быть в этом проблема?

У меня на пяти сайтах так путь указан, проблем ни каких.

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM )
-
На сайте с 15.12.2010
Offline
133
#808

Здравствуйте.

Ставлю сейчас и себе CSP.

Вчера включил Report-only. (На сайте только Adsense, GAnalitics и поиск от гугла).

На данный момент, мои CSP правила выглядят так (Nginx, разбил по строкам, чтоб легче прочесть было):

add_header Content-Security-Policy-Report-Only "
default-src 'self' *.mywebsite.com;
img-src 'self' *.mywebsite.com www.google-analytics.com https://www.google.com/cse/static/en/ https://stats.g.doubleclick.net pagead2.googlesyndication.com https://pagead2.googlesyndication.com;
script-src 'self' 'unsafe-inline' *.mywebsite.com www.google-analytics.com pagead2.googlesyndication.com https://pagead2.googlesyndication.com https://cse.google.com www.google.com/coop/cse/;
style-src 'self' 'unsafe-inline' *.mywebsite.com;
font-src 'self' *.mywebsite.com;
frame-src 'self' *.mywebsite.com https://googleads.g.doubleclick.net googleads.g.doubleclick.net;
connect-src 'self' *.mywebsite.com;
object-src 'none';
report-uri http://www.mywebsite.com/csp.php;";

Сегодня просматриваю отчеты, в связи с чем возникло несколько вопросов(Тему вроде просмотрел, но что-то все равно упустил видать).

Возникает в достаточном количестве такие предупреждения:

1.  (script-src) - blocked-uri: http://www.google.com
2. (script-src) - blocked-uri: "Пусто"
3. (script-src) - blocked-uri: data
4. (img-src) - blocked-uri: data

Начну с конца.

Пункт 4. Понятен, data для изображений не использую. Вряд ли там, что-то смертельное. Думаю можно разрешить.

Пункт 3. Вроде тоже понятен. data для js не использую. Планирую оставить запрещенным, имхо, какая-то кака лезет. Поправьте, если не прав.

Пункт 2. Тут труднее. Ladycharm, где-то писала, что такое в логи сыпется из-за не включенного unsafe-eval. Гугл мне мало что ответил, вразумительного. Для Adsense unsafe-eval необходим?

Пункт 1. Тут я в ступоре. Какой скрипт, не понятно. Просто голый домен гугла. Причем таких предупреждений достаточно. Казалось бы ничего страшного, можно разрешить, а с другой стороны, что за ... В общем, не знаю что с этим пунктом делать.

Если кто может помочь по этим пунктам, видит в чем я заблуждаюсь или есть какой совет, милости прошу.

Заранее благодарен.

U
На сайте с 09.04.2015
Offline
28
#809

-Dima-, Да ничего не делайте. Если у Вас откуда-то ничего не должно грузиться - блокируйте с чистой совестью. Файл hosts у пользователя никто не отменял.

-
На сайте с 15.12.2010
Offline
133
#810

1.  (script-src) - blocked-uri: http://www.google.com
2. (script-src) - blocked-uri: "Пусто"
3. (script-src) - blocked-uri: data
4. (img-src) - blocked-uri: data

По-первому пункту есть не большие прояснения. Вчера не включал в отчеты юзерагенты, сегодня добавил.

Вырисовывается такая картина.

Все варнинги с этим 1-м пунктом идут исключительно от яблочных пользователей. Причем от всех - iphone, ipad и mac.

Не понятно вот только, что Сафари хочет подгрузить с гугла.:)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий