Настройка CSP - Content Security Policy

Можно сие реализовать через файл function.php, разместить нужно вначале -

add_action ('template_redirect', 'add_content_security_policy');

function add_content_security_policy() {

$csp = "...тут прописаны правила CSP....";

header ('Content-Security-Policy: '. $csp);

}

Избавитесь от ошибки.

А никто не знает что этот сайт Рамблера делает ?

blocked-uri: http://ssp.rambler.ru

После установки CSP возник такой вопрос: вес текстовых файлов с отчетами достигает 90 Mb за каждый день. Как вы поступаете с этим? Всё настраиваете и потом удаляете скрипт создания отчетов?

И еще пару вопросов по блокировке:

1. В списке блокированных увидел адрес https://мойдомен, при том, что https вообще не использую.

2. Достаточно часто блокируется http://www.google-analytics.com, хотя Гугл аналитика на сайте не установлена.

Откуда это берется?

присоединюсь с вопросом относительно http://deploy-web.google.com/ - есть идеи что это?

День добрый!

Подскажите пожалуйста. Включил CSP в htaccess, вроде настроил, в логи начал сыпаться мусор.

Проблема следующая. По счетчикам Метрики и Аналитик - трафик просел на 60%, то же самое и с показами в Адсенсе, те же 60% (доход соответственно тоже).

В логах блокирования доменов яндекса и гугла не видно. Есть записи блокировки с пустым значением поля 'blocked-uri'. А так же "inline" (в разделах script-src и style-src в обоих 'unsafe-inline' - включен) и "eval" (в разделt script-src, 'unsafe-inline' - включен)

Полагаю, что проблема в отработке кода счетчиков, т.к. трафик никуда не делся.

В чем может быть проблема? Пока CSP выключил.

Нет директив CSP - нет комментария. Напишите свои директивы прописанные в .htaccess и может кто-нить подскажет

На сайте 1) счетчик Ли, 2) поделиться от Я и 3) Адсенс 4) на нескольких страницах ролики Ютуб через iframe.

<ifModule mod_headers.c>

Header set Content-Security-Policy-Report-Only "\

default-src 'self';\

script-src 'self' 'unsafe-inline' 'unsafe-eval'\

yandex.st https://yandex.st *.yandex.ru https://*.yandex.ru\

*.googleapis.com https://*.googleapis.com *.doubleclick.net https://*.doubleclick.net\

*.googlesyndication.com https://*.googlesyndication.com\

*.gstatic.com https://*.gstatic.com gstatic.com https://gstatic.com;\

frame-src 'self'\

*.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com gstatic.com https://gstatic.com\

*.doubleclick.net https://*.doubleclick.net *.googlesyndication.com https://*.googlesyndication.com\

*.googleadservices.com https://*.googleadservices.com\

youtube.com https://youtube.com *.youtube.com https://*.youtube.com\

youtube.ru https://youtube.ru *.youtube.ru https://*.youtube.ru;\

connect-src 'self'\

*.yandex.ru https://*.yandex.ru https://translate.googleapis.com https://pipe.skype.com;\

style-src 'self' 'unsafe-inline'\

*.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com data:;\

font-src 'self'\

*.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com data:;\

img-src 'self'\

*.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com\

*.doubleclick.net https://*.doubleclick.net *.googlesyndication.com https://*.googlesyndication.com\

*.2mdn.net https://*.2mdn.net\

yadro.ru https://yadro.ru *.yadro.ru https://*.yadro.ru\

yastatic.net https://yastatic.net\

*.yandex.ru https://*.yandex.ru data:;\

object-src 'self'\

*.doubleclick.net https://*.doubleclick.net *.gstatic.com https://*.gstatic.com\

*.googlesyndication.com https://*.googlesyndication.com;\

"

</IfModule>

По отчетам за сутки без малого тысяча заблокированных uri. Смущают следующие из них:

ajax_googleapis_com запрещающая директива connect-src

api_google_com запрещающая директива script-src

www_google_by (а также com, ie, kz, lv, ru) запрещающая директива img-src

ya_ru запрещающая директива script-src

yandex_ru и st запрещающая директива connect-src

www_google-analitics_com запрещающая директива script-src, img-src и connect-src

dl_metabar_ru запрещающая директива script-src и frame-src

tb_beeline_ru запрещающая директива script-src и connect-src

Подскажите, пожалуйста, ничего добавить или убрать не нужно? Можно убирать -Report-Only?

Вроде ситуация улучшилась, с момента написания поста, т.к. я все же продолжил работу с кодом, и видимо, ситуацию исправил. Трафик почти восстановился, пока падение на 15%.

На всякий случай, привожу мой код, вдруг кто-то, что-то увидит. На сайте форум с пользовательским контентом (картинки, ютуб), Метрика, Аналитикс + счетчики, Адсенс, сапа.

Отметил, что в лог падают запросы со старым кодом CSP (явное кэширование заголовков).

Что может давать в 'blocked-uri' значение "asset", а так же значение "blob"?

Заранее благодарю.

Header set Content-Security-Policy "

    default-src 'self' *.my.com my.com;



    script-src 'self' 'unsafe-inline' 'unsafe-eval' *.my.com my.com

      http://yandex.ru

      http://*.yandex.ru

      http://mc.yandex.ru

      https://mc.yandex.ru

      http://awaps.yandex.ru

      http://yandex.st

      http://*.yandex.st

      https://yandex.st

      https://*.yandex.st

      http://yandex.net

      http://*.yandex.net

      http://*.2mdn.net

      https://*.2mdn.net

      http://*.google-analytics.com

      https://*.google-analytics.com

      http://*.googlesyndication.com

      https://*.googlesyndication.com

      http://*.doubleclick.net

      https://*.doubleclick.net

      http://*.gstatic.com

      https://*.gstatic.com

      http://*.googleapis.com

      https://*.googleapis.com

      http://*.google.com

      https://*.google.com

      http://top-fwz1.mail.ru

      http://*.list.ru

      http://counter.rambler.ru

      http://*.hotlog.ru

      http://*.bigmir.net

      http://*.acint.net

      http://*.uptolike.com

      https://*.uptolike.com;



    frame-src 'self' *.my.com my.com

      http://mc.yandex.ru

      https://mc.yandex.ru

      http://awaps.yandex.ru

      http://*.doubleclick.net

      https://*.doubleclick.net

      http://*.googleadservices.com

      https://*.googleadservices.com

      http://*.googlesyndication.com

      https://*.googlesyndication.com

      http://*.google.com

      https://*.google.com

      http://*.youtube.com

      https://*.youtube.com

      http://*.acint.net

      http://*.facebook.com

      https://*.facebook.com

      http://*.uptolike.com

      https://*.uptolike.com;



    object-src 'self' *.my.com my.com

      http://*.doubleclick.net

      https://*.doubleclick.net

      http://*.gstatic.com

      https://*.gstatic.com

      http://*.googlesyndication.com

      https://*.googlesyndication.com

      http://*.youtube.ru

      https://*.youtube.ru

      http://*.youtube.com

      https://*.youtube.com

      http://ytimg.com

      https://ytimg.com

      http://*.ytimg.com

      https://*.ytimg.com;



    style-src 'self' 'unsafe-inline' *.my.com my.com

      http://*.googleapis.com

      https://*.googleapis.com

      http://*.gstatic.com

      https://*.gstatic.com;



    img-src * data:;

    media-src *;

    font-src * data: *.my.com my.com

      http://*.googleapis.com

      https://*.googleapis.com

      http://*.gstatic.com

      https://*.gstatic.com;



    connect-src 'self' *.my.com my.com

      https://translate.googleapis.com

      https://pipe.skype.com

      http://*.google-analytics.com

      https://*.google-analytics.com

      https://*.yandex.ru

      http://*.youtube.com

      https://*.youtube.com

      http://googlevideo.com

      http://*.googlevideo.com

      https://googlevideo.com

      https://*.googlevideo.com 

      http://*.uptolike.com

      https://*.uptolike.com;



    report-uri csp.php"

Если у Вас nginx, то какое к нему отношение имеет .htaccess?

Настраивайте или через php или через конфиг файлы nginx.

Нужно увеличить в nginx объем proxy_buffers.