- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
У наглых и вездесущих - я изучаю коды яваскриптов и инициирую у себя на сайтах их глобальные переменные так, чтобы эти скрипты не запускались или думали что они уже отработали.
очень интересно, поделитесь кодом который уже используете?
в логе заблокированных в директиве frame-src фигурирует gsa://onpageload
кто-то знает что это зверь?
Тоже наблюдаю такое в логах.
В интернетах пишут, что это относится к Google Search App on iOS.
У всех репортующих в useragent'е имеется аббревиатура GSA.
Интересно, что гугл пытается открыть этим во фрейме:)
Здравствуйте
Сафари и Эдж просят записать домены в default-src, например, facebook и т.д. Стоит ли это делать?
И если там их прописать, то можно удалить эти домены во всех остальных директивах (script-src, img-src и т.д.)?
Сафари и Эдж просят записать домены в default-src, например, facebook и т.д. Стоит ли это делать?
Этого делать не стоит - сильно понижается способность CSP резать "вредоносов". Если всё можно было пихать в default-src - зачем были тогда придуманы остальные директивы? default-src - она для "своих" доменов.
Сафари и Эдж не просят добавлять домены в default-src, просто у вас в CSP не прописана реальная директива, в которой возникает блокировка, поэтому браузер лезет по умолчанию в default-src и там уже возникает блокировка.
Современные браузеры уже поддерживают CSP 2 и присылают effective-directive: - название директивы, которая реально была нарушена.
Сафари и Эдж не просят
Да тут я неправильно выразился.
У меня описаны все основные директивы: default-src, script-src, style-src, img-src, font-src, media-src, child-src, connect-src, object-src. Какие еще нужны не подскажите?
в логе заблокированных в директиве frame-src фигурирует gsa://onpageload
Тоже наблюдаю такое в логах.
В интернетах пишут, что это относится к Google Search App on iOS.
После того как открыл ему доступ в frame-src, оно попросилось и в default-src
Вот бы понять что не будет работать у людей с iOS если я его заблокирую ?
Здравствуйте, как прописать в этом коде домен vk.com?
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com; connect-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com http://*.amazonaws.com;"
</IfModule>
Я пробовал прописать так само как и youtube.com но ничего не получилось на сайте как будто css отключились.
Пожалуйста напишите готовый код а то времени нет) Спасибо)
---------- Добавлено 12.11.2016 в 21:52 ----------
Так не пашет:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; style-src 'unsafe-inline'; frame-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com https://vk.com http://vk.com http://*.vk.com https://*.vk.com http://vk.me https://vk.me http://*.vk.me https://*.vk.me; img-src data:; media-src; font-src; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com https://vk.com http://vk.com http://*.vk.com https://*.vk.com http://vk.me https://vk.me http://*.vk.me https://*.vk.me http://vk.me https://vk.me http://*.vk.me https://*.vk.me; connect-src 'self' http://youtube.com https://youtube.com http://www.youtube.com https://www.youtube.com http://*.amazonaws.com https://vk.com http://vk.com http://*.vk.com https://*.vk.com http://vk.me https://vk.me http://*.vk.me https://*.vk.me;"
</IfModule>
Этого делать не стоит - сильно понижается способность CSP резать "вредоносов". Если всё можно было пихать в default-src - зачем были тогда придуманы остальные директивы? default-src - она для "своих" доменов.
у меня кроме директа, адсенса и vk больше ничего нет. Я посмотрел, что все директивы почти копируют друг друга и вписал всё в default-src, не вижу ничего плохого, но заголовок зато стал намного меньше
Ladycharm, а за денежку - ещё настраиваете?
А кто-нибудь сталкивался с изменениями CSP?
Отправлен заголовок:
$csp = "default-src 'self'; ";
$csp .= "img-src 'self' https://mc.yandex.ru https://informer.yandex.ru https://www.google-analytics.com https://*.google.com; ";
$csp .= "style-src 'self'; ";
$csp .= "script-src 'self' https://mc.yandex.ru https://yastatic.net https://www.google-analytics.com https://*.google.ru *.google.ru *.google.com https://*.google.com; ";
$csp .= "connect-src https://mc.yandex.ru https://www.google-analytics.com; ";
$csp .= "report-uri /csp/save;";
В одном из отчетов о срабатывании:
[original-policy] => default-src 'self'; img-src 'self' https://mc.yandex.ru https://informer.yandex.ru https://www.google-analytics.com https://*.google.com; style-src 'self'; script-src 'self' https://mc.yandex.ru https://yastatic.net https://www.google-analytics.com https://*.google.ru *.google.ru *.google.com https://*.google.com local.adfender.com; connect-src https://mc.yandex.ru; report-uri /csp/save;
Как видно в политику добавилась запись. Политика сработала [blocked-uri] => local.adfender.com [effective-directive] => style-src.
Насколько я понимаю, сделать здесь ничего нельзя, на стороне клиента происходит изменение заголовков CPS?