Настройка CSP - Content Security Policy

Здравствуйте, как прописать в этом коде домен vk.com?

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com; connect-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com http://*.amazonaws.com;"

</IfModule>

Я пробовал прописать так само как и youtube.com но ничего не получилось на сайте как будто css отключились.

Вы скорее всего где-то сделали опечатку, если добавите как youtube - будет работать. Но прописывать vk.com только в тех директивах, которые нужны.

Скорее всего это script-src и image-src.

Спасибо! Завтра проверю и отпишусь:)

У меня уже хостер ныть начал на этот CSP, я все добавляю туда новые тизерки, а старые забываю удалять 🤪

Вообще, честно говоря, дурдом с этими настройками, все понятно, но муторно каждый раз, когда тебе предлагают потестировать чью-либо рекламу, лезть в этот CSP и править по куче доменов, с учетом того, что у каждой тизерки по 10+ доменов разных... Еще и когда спрашиваешь их - они высылают то не все, то вообще не понимают о чем я говорю 🍿

Может я что не так делаю? :p

С тизерками всегда проблемы. Адсенс и РСЯ - поставил и забыл.

Был бы РСЯ, я бы и не парился (хотя в моей тематике я даже не знаю сколько РСЯ дает). А так ищу постоянно на 4 место себе рекламодателя. Но сейчас вроде установил нормального, платит помесячно.

Просто многие предлагают больше, чем дает Adsense на тех же местах, но на тест, на 2-4 недели... А жадность же она такая, а с другой стороны - лень и гемморойность настройки :p

в логе заблокированных в директиве frame-src фигурирует gsa://onpageload

кто-то знает что это зверь?

c 17.09 в логе большое кол-во заблокированных http://x01.aidata.io

На этом aidata.io судя по описанию делают мобильные версии сайтов. Не совсем понимаю ко мне то они какое отношение стали вдруг иметь.

Мобильная версия у нас работает уже больше года и сделана на http://www.mobilizetoday.ru/

Или это какие то последствия выхода ios10 ?

Есть расширения для хрома, которые подменяют всю рекламу на свою и дописывают свои src в CSP....

Вот как с этим бороться... по факту получается СPS бесполезной.

В качестве примера такого расширения - freeestikers.ru - предлагают поставить расширения для стикеров в однокласниках.

У наглых и вездесущих - я изучаю коды яваскриптов и инициирую у себя на сайтах их глобальные переменные так, чтобы эти скрипты не запускались или думали что они уже отработали.