- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Обнови расширение.
Мне нечего обновлять - я плагины и прочую хрень не использую.
Привет!
У кого в отчетах спутик?
Чего он добивается? )))
Кстати, вы пишите настройки для каждого браузера?
Допустим EDGE не понимает child-src, поставил его а потом в локах кучу ошибок.. Пришлось вернуть на frame-src.
А изначально поменял по просьбе Мазилы "Content Security Policy: Директива «frame-src» устарела. Пожалуйста, вместо неё используйте директиву «child-src»."
Вчера за пол часа разобрался более менее и настроил на всех сайтах, а потом офигел от логов )))) Хотя на первый взгляд с помощью CSP Tester в хроме было всё ок))
На одном сайте увидел "default-src 'self' * 'unsafe-inline' 'unsafe-eval' data: blob: chromenull: chromeinvoke: chromeinvokeimmediate: ybnotification:; " это же неверно? Они по стандарту разрешают все домены *.
Кто вкурсе, что значит: blob: chromenull: chromeinvoke: chromeinvokeimmediate: ybnotification:; ? Кто сможет написать описание для каждого слова?
---------- Добавлено 19.12.2016 в 08:56 ----------
В отчетах можно видеть следующие результаты (от Оптимизайка):
Это мобильные браузеры в iPhone/iPad. Они знатно глючат с CSP, поэтому для части их проще отключить CSP.
3) about;data;safari-resource;ybnotification;webviewprogressproxy;chromenull;chromeinvoke;chromeinvokeimmediatewyciwyg;safari-extension;asset;mbinit;command
Извините, а вот вы пишите что нужно отключить CSP для айфона/айпада, но как раз там в частности и вылезает ужасная реклама, в виде кликандеров и т.д. или я ошибаюсь??
У кого такое в логах?
Чет тема затухла)))
да просто это никого не волнует, спутник там какой-то. Всё работает как и год назад.
c 17.09 в логе большое кол-во заблокированных http://x01.aidata.io
На этом aidata.io судя по описанию делают мобильные версии сайтов. Не совсем понимаю ко мне то они какое отношение стали вдруг иметь.
Мобильная версия у нас работает уже больше года и сделана на http://www.mobilizetoday.ru/
Или это какие то последствия выхода ios10 ?
Что-то удалось выяснить?
Подскажите пожалуйста рабочий вариант для блокировки яндлекс советника, сервер nginx, все средствами csp блокирую, а он появляется. Возможно стоит избегать каких то тегов в html, либо их скрывать, у кого какие мысли, спасибо
Что-то удалось выяснить?
Нет, ничего. Но я его открыл, оно лезло только в img-src так что фиг с ним.
Сейчас новая напасть в логах все время блокируются запросы к:
www.google.pl
www.google.lv
www.google.com.ua
www.google.nl
www.google.lt
и так далее по всем страновым доменам Гугла
для всех:
"violated-directive":"img-src
referrer":"http:\/\/yandex.ru\/clck\/jsredir?from=yandex.ru%3Bsearch%2F%3Bweb%
Вопрос причем тут yandex и домены гугла всех стран ?
Сайт у меня чисто российский.
Чего блин мне вписывать полсотни доменов гуглов в img-src ? или можно как то по маске это разрешить ? только надо ли ?
Еще кто то такое видел ?
На моих страницах есть кнопки социалок, в том числе G+, может это ? но с другой стороны с какого перепугу народ из хрен знает каких стран будет делать у меня на сайте и лайкать еще что то...
Часто еще лезет
https://ff-input.mxpnl.net или
https://cr-input.mxpnl.net
Тоже понятия не имею что это
Ну и неопознаваемые:
blocked-uri: asset
и
blocked-uri: data
---------- Добавлено 22.01.2017 в 14:00 ----------
Обнови расширение.
Что и где надо обновить ?
Только что поставил последние версии Я.Советника в Хром и Мозилу - на моем сайте они по-прежнему полностью блокируются CSP. Для проверки заходил на Мвидео - там CSP нет и советник лезет в каждом товаре.
...
Странно, стал дальше проверять, включил Report-Only, но Я.Советник у меня не вылезает по-прежнему.
Если по кнопке вызвать расширение, то тогда показывает где еще есть, но самостоятельно на экран не вылезает...
А раньше то вылезал, и на других сайтах так и лезет по-прежнему, ничего не понимаю...
Может это быть связано с внедрением:
Header set X-Content-Type-Options: "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
и переходом всего сайта на https ?
Что и где надо обновить ?
Только что поставил последние версии Я.Советника в Хром и Мозилу - на моем сайте они по-прежнему полностью блокируются CSP. Для проверки заходил на Мвидео - там CSP нет и советник лезет в каждом товаре.
...
Чёрт, это видимо был какой то глюк кеширования или еще непонятно чего, но теперь Советник из расширений Хрома и Файрфокса лезет при любых настройках CSP и даже установка скрипта рекламируемого Сторсоветника ему стала по барабану.
Печаль однако, остается надеяться что к действиям Anywayanyday присоединится еще кто то из крупняков и они таки доведут информацию до кого надо в Яндексе, что так делать нельзя.
У кого установлен https, ситуация с логами такая же или чуть меньше всякой хрени вылазит?
Камрады, а под admitad никто правила не затачивал? Пока приходится вылавливать *.admitad.com и *.dumedia.ru, но какие к нему еще домены нужны - неясно.