- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Подскажите кто знает что надо прописать в CSP чтобы Вебвизор Яндекса работал ?
При его работе идут запросы вида: b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net
Запихал это *.mtproxy.yandex.net во все части CSP, все равно получается, что первая страница сессии открывается нормально, а когда чел в сессии переходит по ссылке на другую страницу сайта, то я ее вижу в вебвизоре без стилей и графики, а в отчете CSP получаю:
csp-report":{"document-uri":"http:\/\/b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net\/viking?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","referrer":"http:\/\/aede8ed32dbf774e602708ea5ea8b387.mtproxy.yandex.net\/?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","violated-directive":"style-src
...
"blocked-uri":"http:\/\/имя сайта","status-code":200
ну и тоже самое по img-src, script-src, connect-src
Хотя *.mtproxy.yandex.net прописано везде
Как с этим можно побороться ?
p.s. и еще кто нибудь знает что такое "blocked-uri":"asset" ? переодически выскакивает на запрос разных страниц сайта
"violated-directive":"script-src
Подскажите кто знает что надо прописать в CSP чтобы Вебвизор Яндекса работал ?
При его работе идут запросы вида: b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net
Запихал это *.mtproxy.yandex.net во все части CSP, все равно получается, что первая страница сессии открывается нормально, а когда чел в сессии переходит по ссылке на другую страницу сайта, то я ее вижу в вебвизоре без стилей и графики, а в отчете CSP получаю:
csp-report":{"document-uri":"http:\/\/b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net\/viking?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","referrer":"http:\/\/aede8ed32dbf774e602708ea5ea8b387.mtproxy.yandex.net\/?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","violated-directive":"style-src
...
"blocked-uri":"http:\/\/имя сайта","status-code":200
ну и тоже самое по img-src, script-src, connect-src
Хотя *.mtproxy.yandex.net прописано везде
Как с этим можно побороться ?
p.s. и еще кто нибудь знает что такое "blocked-uri":"asset" ? переодически выскакивает на запрос разных страниц сайта
"violated-directive":"script-src
У меня так и все работает:
У меня так и все работает:
Странно, а у меня вебвизор все показывает без картинок и стилей.
Тех. поддержка Метрики ответили (явно не очень уверенно) чтобы попробовал webvisor.com добавить в политики CSP
Добавил сразу во все секции. Результат очень странный.
Теперь без проблем стало грузиться больше страниц в вебвизоре, т.е. совет как бы немного помог, но не на 100%, т.к. все таки не все страницы.
Т.е. какие то страницы сайта отображаются полностью как на сайте, а какие то по-прежнему выдает без стилей и графики... хм, может дело то вообще не в CSP ?
P.S. Проверил. Все таки дело в CSP. На одной и той же сессии пользователя в вебвизоре - отключаешь CSP - наблюдаешь как он мечется по страницам сайта и все они отображаются идеально.
Включаешь CSP - получаешь больше половины страниц в той же сессии вебвизора в виде голого текста без форматирования и картинок...
Т.е. эффект то на лицо, но в report-uri ничего не сыпется... вот ведь зараза :(
Проблема еще в том что вебвизор же открывается в отдельном окне браузера без возможности добраться в нем до консоли и отладчика... поэтому ошибки непонятно как увидеть
В принципе оно понятно что фиг с ним с вебвизорм, в конце концов когда возникает потребность посмотреть сессии можно CSP и отключить временно.
Но непонятен сам принцип проблемы и как отладить - очевидно что CSP что то блокирует, но невозможно понять что и почему...
Странно, а у меня вебвизор все показывает без картинок и стилей.
Тех. поддержка Метрики ответили (явно не очень уверенно) чтобы попробовал webvisor.com добавить в политики CSP
Добавил сразу во все секции. Результат очень странный.
Теперь без проблем стало грузиться больше страниц в вебвизоре, т.е. совет как бы немного помог, но не на 100%, т.к. все таки не все страницы.
Т.е. какие то страницы сайта отображаются полностью как на сайте, а какие то по-прежнему выдает без стилей и графики... хм, может дело то вообще не в CSP ?
P.S. Проверил. Все таки дело в CSP. На одной и той же сессии пользователя в вебвизоре - отключаешь CSP - наблюдаешь как он мечется по страницам сайта и все они отображаются идеально.
Включаешь CSP - получаешь больше половины страниц в той же сессии вебвизора в виде голого текста без форматирования и картинок...
Т.е. эффект то на лицо, но в report-uri ничего не сыпется... вот ведь зараза :(
Проблема еще в том что вебвизор же открывается в отдельном окне браузера без возможности добраться в нем до консоли и отладчика... поэтому ошибки непонятно как увидеть
У меня была подобная заморочка с Вебвизором - именно как будто стили не подгружались. Но тогдя я не использовал ЦСП, и как прошло не знаю - просто прошло само. Такое впечатление, что у фндекса там что-то в кеше застревает.
Тоже пришлось столкнуться с этой заразой. В один прекрасный день гугл прислал сообщение о блокировке из-за скрытой переадресации.
Сейчас настроил CSP следующим образом:
На сайте стоит реклама от гугла, яндекса, леди кеш и ещё что-то (забыл как называется :)). В .htaccess всё, естественно, в одну строчку. Ссылки прописывал по отчёту csp.php, поэтому такое разнообразие вариантов написания ссылок. Сейчас в отчёте изредка проскакивает http://awaps.yandex.ru, пока не знаю, как его пропускать.
Если кто тоже блокирует по отчёту будьте внимательны - иногда проскакивают ссылки очень похожие на нормальные, но отличаются от них на пару символов. Не добавьте чего лишнего.
Заразы всякой блокируется много (по моим ощущениям).
Сейчас буду в гугл писать и буду надеяться, что на этот раз разблокируют.
Спасибо за код. Попытался переделать его под свой сайт... Не работает:( Не поможете? У меня вордпрес, в файл отчета не пишет и блочить не блочит, мобильный редирект по-прежнему проскакивает, уже второй сайт натянул Платон за это. Последняя надежда на этот код:o.
Вот что у меня вышло:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' 'unsafe-eval' 'unsafe-inline' https://mc.yandex.ru http://awaps.yandex.ru http://www.google-analytics.com http://pagead2.googlesyndication.com https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net *.drivenetwork.ru drivenetwork.ru;object-src 'self' 'unsafe-eval' 'unsafe-inline' *.doubleclick.net *.gstatic.com https://*.doubleclick.net https://*.gstatic.com;
style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;
frame-src 'self' *.doubleclick.net *.googleadservices.com *.googlesyndication.com https://*.doubleclick.net https://*.googleadservices.com https://*.googlesyndication.com mc.yandex.ru http://googleads.g.doubleclick.net https://googleads.g.doubleclick.net;
img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googleapis.com https://*.googlesyndication.com https://*.gstatic.com *.liveinternet.ru;
media-src 'self' 'none';
font-src 'self' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;
script-src 'self' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com yandex.ru *.yandex.ru https://mc.yandex.ru http://awaps.yandex.ru yandex.st *.yandex.st yandex.net *.yandex.net http://www.google-analytics.com http://pagead2.googlesyndication.com https://pagead2.googlesyndication.com http://googleads.g.doubleclick.net https://googleads.g.doubleclick.net top-fwz1.mail.ru counter.rambler.ru *.drivenetwork.ru drivenetwork.ru *.liveinternet.ru;report-uri http://мой сайт.ru/csp.php"
</IfModule>
Кто может помогите сделать так чтобы код заработал. Спасибо заранее.
Кто может помогите сделать так чтобы код заработал. Спасибо заранее.
А вы папку для отчётов создали? А права на запись для php в эту папку есть? А разрешено ли вообще исполняться файлам php в этом месте? А работает ли htaccess на вашем хостинге тем способом, которым вы пытаетесь его использовать? А не забыли ли вы точку вначале: ".htaccess"?
Это самые общие вопросы, т. к. я далеко не знаток CMS.
Также можно попробовать вручную вызвать указанный вами файл отчёта из браузера и посмотреть, нет ли ошибок.
Кстати, у меня к файлу отчёта указан относительный путь, а у вас абсолютный. Может быть в этом проблема?
Кстати, у меня к файлу отчёта указан относительный путь, а у вас абсолютный. Может быть в этом проблема?
У меня на пяти сайтах так путь указан, проблем ни каких.
Здравствуйте.
Ставлю сейчас и себе CSP.
Вчера включил Report-only. (На сайте только Adsense, GAnalitics и поиск от гугла).
На данный момент, мои CSP правила выглядят так (Nginx, разбил по строкам, чтоб легче прочесть было):
Сегодня просматриваю отчеты, в связи с чем возникло несколько вопросов(Тему вроде просмотрел, но что-то все равно упустил видать).
Возникает в достаточном количестве такие предупреждения:
Начну с конца.
Пункт 4. Понятен, data для изображений не использую. Вряд ли там, что-то смертельное. Думаю можно разрешить.
Пункт 3. Вроде тоже понятен. data для js не использую. Планирую оставить запрещенным, имхо, какая-то кака лезет. Поправьте, если не прав.
Пункт 2. Тут труднее. Ladycharm, где-то писала, что такое в логи сыпется из-за не включенного unsafe-eval. Гугл мне мало что ответил, вразумительного. Для Adsense unsafe-eval необходим?
Пункт 1. Тут я в ступоре. Какой скрипт, не понятно. Просто голый домен гугла. Причем таких предупреждений достаточно. Казалось бы ничего страшного, можно разрешить, а с другой стороны, что за ... В общем, не знаю что с этим пунктом делать.
Если кто может помочь по этим пунктам, видит в чем я заблуждаюсь или есть какой совет, милости прошу.
Заранее благодарен.
-Dima-, Да ничего не делайте. Если у Вас откуда-то ничего не должно грузиться - блокируйте с чистой совестью. Файл hosts у пользователя никто не отменял.
По-первому пункту есть не большие прояснения. Вчера не включал в отчеты юзерагенты, сегодня добавил.
Вырисовывается такая картина.
Все варнинги с этим 1-м пунктом идут исключительно от яблочных пользователей. Причем от всех - iphone, ipad и mac.
Не понятно вот только, что Сафари хочет подгрузить с гугла.:)