Если у вас на сайте нет рекламы или яндекс. Метрики, нужно включить st Yandexadexchange Net - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

113

fliger

20 февраля 2016, 11:38

#821

Коллеги, помогите уточнить по поводу разрешения для скриптов unsafe-eval и unsafe-inline.

На сайте функции JavaScript вызываются из загружаемых файлов .js такими конструкциями (ниже код, который размещен непосредственно в HTML-коде сайта):

1. В функцию передаются параметры:

или

2. На странице задается переменная, передаваемая в вызываемую из файла функцию:

3. Вызов функции:

Будут ли эти конструции работать при запрете в CSP unsafe-eval или unsafe-inline?

Переписать csp правила Ротатор script-кодов по очереди Помогите новичку по javascript

239

D.iK.iJ

20 февраля 2016, 15:39

#822

fliger:
Будут ли эти конструции работать при запрете в CSP unsafe-eval или unsafe-inline?

Будут работать как обычно.

Если будут ошибки в консоли вебмастера из-за подгрузки внешних ресурсов, всегда можно их разрешить.

Адаптивный дизайн в 2 строчки ( https://dikij.com/wm/adaptaciya-saytov.php ). + Принимаю заказы любой сложности ( https://searchengines.guru/ru/forum/926323 ). 💎 Еще я делаю классные кулоны с опалами ( https://mosaicopal.ru/ ).

50

korfiati

20 февраля 2016, 23:02

#823

Надеюсь на вашу помощь.

Установила CSP теперь в report постоянно сыпется это:

img-src https://sync.botscanner.com/

frame-src http://st.yandexadexchange.net/

img-src http://clckto.ru/

img-src http://front.facetz.net/

img-src https://dl.metabar.ru/

img-src http://dmg.digitaltarget.ru/

Не могу разобраться, правильно ли что я их не разрешаю, или допускаю ошибку? Принадлежность этих сервисов не идентифицировала. 'unsafe-inline' 'unsafe-eval' включены.

Как научиться шить самой и строить выкройки Школа Шитья Анастасии Корфиати ( https://korfiati.ru/ )

Беда wap рынка. Гугл Вредители ad-tizer.net Резкое падение позиций в

K

6

kohotnik

21 февраля 2016, 17:22

#824

korfiati, Ну и хорошо, эту гадость надо отсеивать

Вот интересно это что? Кто-нибудь знает?:

tb.beeline.ru

adguard.com

https://m.addthisedge.com

И еще вопрос по поводу сервисов Яндекса, надо ли их вносить, если у меня на сайте нет ни рекламы, ни яндекс.метрики?

mc.yandex.ru (метрика) и https://dl.metabar.ru (советник)

Яндекс Метрика. Время на Влияние Яндекс метрики Дублирование материалов в соц.

L

351

Ladycharm

21 февраля 2016, 20:48

#825

kohotnik:
Вот интересно это что? Кто-нибудь знает?:
tb.beeline.ru
adguard.com
https://m.addthisedge.com

tb.beeline.ru - тулбар от Билайна, мерзкая и очень вредная штука. Мастдай, однозначно.

adguard.com - фильтр интернет-рекламы. На сайтах, живущих за счёт рекламы, разрешать его смысла нет.

m.addthisedge.com - похоже, фишинг по доменному имени под под www.addthis.com

kohotnik:
И еще вопрос по поводу сервисов Яндекса, надо ли их вносить, если у меня на сайте нет ни рекламы, ни яндекс.метрики?
mc.yandex.ru (метрика) и https://dl.metabar.ru (советник)

Зачем? Яндекс.Метрикой(и Google-Аналитикой) собирают статистику работы вредоносных плагинов их владельцы.

dl.metabar.ru(Яндекс-Советник) - это работа яндексовского браузерного плагина, будет цены предлагать ниже, чем у вас, и уводить посетителей.

korfiati:
Не могу разобраться, правильно ли что я их не разрешаю, или допускаю ошибку? Принадлежность этих сервисов не идентифицировала. 'unsafe-inline' 'unsafe-eval' включены.

Если Яндекс RTB на сайте нет - правильно, что запрещаете.

st.yandexadexchange.net - косвенно используется в RTB, Яндекс через него периодически эксперименты проводит над мобильными посетителями сайтов.

Технологии Pay-hit.com - это Биржа Sape начала показ яндекс советник - как

50

korfiati

21 февраля 2016, 22:27

#826

Ladycharm:

Если Яндекс RTB на сайте нет - правильно, что запрещаете.
st.yandexadexchange.net - косвенно используется в RTB, Яндекс через него периодически эксперименты проводит над мобильными посетителями сайтов.

А остальные чьи, не подскажите?

---------- Добавлено 22.02.2016 в 02:31 ----------

RTB на сайте есть? Стоит включить st.yandexadexchange.net ?

L

351

Ladycharm

22 февраля 2016, 08:55

#827

korfiati:
А остальные чьи, не подскажите?

---------- Добавлено 22.02.2016 в 02:31 ----------

RTB на сайте есть? Стоит включить st.yandexadexchange.net ?

Да, включайте. Хотя под РТВ у вас уже должен быть открыт *.yandexadexchange.net целиком.

Чьи остальные - легко гуглится:

dl.metabar.ru - что это написано постом выше: раньше был плагин МетаБар, но Яндекс его купил и теперь это Яндекс.Советник.

facetz.net - это DMP-платформа, занимается сбором статистики поведения пользователей в интернете для дальнейшей продажи заинтересованным сторонам.

botscanner.com - система контроля качества трафика для рекламных сетей.

PS: А то, что не "гуглится" и нет сайта на домене 2-го уровня - 99.99% можно блокировать.

Яндекс приобрел «Советник» - В Яндекс.Аудиториях появились аудиторные Experian представил новый сервис

*

186

*NR*

22 февраля 2016, 10:00

#828

у кого работает вебвизор?

подкажите плиз в какой блок чего добавить?

а то у меня ругается:

Невозможно воспроизвести посещение на данной странице. Возможные причины:

Не установлен код счётчика

Установлен запрет на отображение страницы во фрейме

перестал работать вебвизор Проблемы с вебвизором Апдейт поисковой базы 14.11.2014

K

6

kohotnik

22 февраля 2016, 11:38

#829

В отчетах в Blocked URI проскакивают просто data, asset для script-src что это такое?

Для чего они могут внедряться в script-src http:// www. cccb. ru, не нашел у них плагина никакого

L

351

Ladycharm

22 февраля 2016, 12:06

#830

kohotnik:
В отчетах в Blocked URI проскакивают просто data, asset для script-src что это такое?

data используется для вставки инлайн-скриптов, картинок и стилей.

asset - не знаю, надо смотреть CSP-отчёт, где это появляется.

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Что делать, чтобы попасть в ответы Google Bard

Настройка CSP - Content Security Policy