Настройка CSP - Content Security Policy

Мне нечего обновлять - я плагины и прочую хрень не использую.

Привет!

У кого в отчетах спутик?

Чего он добивается? )))

Кстати, вы пишите настройки для каждого браузера?

<ifModule mod_headers.c>

    # Улучшения безопасности

    Header unset Server

    # Header unset X-Pingback

    Header unset Accept-Ranges

    <FilesMatch "\.html>

        Header set X-Frame-Options "SAMEORIGIN"

        # Для IE

        BrowserMatch MSIE ie

        Header set Imagetoolbar "no" env=ie

        Header set X-Content-Type-Options "nosniff" env=ie

        Header set X-UA-Compatible "IE=edge" env=ie

        Header set X-XSS-Protection "1; mode=block" env=ie

        Header set X-Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \

            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ie

        # Для Firefox

        BrowserMatch Firefox ff

        Header set Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \

            script-src 'self' analytics.example.com ajax.googleapis.com; \

            font-src 'self' data:" env=ff

        # Для Safari

        BrowserMatch SAFARI safari

        Header set X-XSS-Protection "1; mode=block" env=safari

        Header set X-WebKit-CSP "default-src 'self'; img-src 'self' analytics.example.com; \

            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=safari

        # Для Chrome

        BrowserMatch CHROME ch

        Header set X-Content-Type-Options "nosniff" env=ch

        Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \

            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ch

        # Для Chrome

        BrowserMatch chromeframe chf

        Header set Imagetoolbar "no" env=chf

        Header set X-Content-Type-Options "nosniff" env=chf

        Header set X-UA-Compatible "IE=edge,chrome=1" env=chf

        Header set X-XSS-Protection "1; mode=block" env=chf

        Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \

            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=chf

    </FilesMatch>

</IfModule>

Допустим EDGE не понимает child-src, поставил его а потом в локах кучу ошибок.. Пришлось вернуть на frame-src.

А изначально поменял по просьбе Мазилы "Content Security Policy: Директива «frame-src» устарела. Пожалуйста, вместо неё используйте директиву «child-src»."

Вчера за пол часа разобрался более менее и настроил на всех сайтах, а потом офигел от логов )))) Хотя на первый взгляд с помощью CSP Tester в хроме было всё ок))

На одном сайте увидел "default-src 'self' * 'unsafe-inline' 'unsafe-eval' data: blob: chromenull: chromeinvoke: chromeinvokeimmediate: ybnotification:; " это же неверно? Они по стандарту разрешают все домены *.

Кто вкурсе, что значит: blob: chromenull: chromeinvoke: chromeinvokeimmediate: ybnotification:; ? Кто сможет написать описание для каждого слова?

---------- Добавлено 19.12.2016 в 08:56 ----------

Извините, а вот вы пишите что нужно отключить CSP для айфона/айпада, но как раз там в частности и вылезает ужасная реклама, в виде кликандеров и т.д. или я ошибаюсь??

У кого такое в логах?

Чет тема затухла)))

да просто это никого не волнует, спутник там какой-то. Всё работает как и год назад.

Что-то удалось выяснить?

Подскажите пожалуйста рабочий вариант для блокировки яндлекс советника, сервер nginx, все средствами csp блокирую, а он появляется. Возможно стоит избегать каких то тегов в html, либо их скрывать, у кого какие мысли, спасибо

Нет, ничего. Но я его открыл, оно лезло только в img-src так что фиг с ним.

Сейчас новая напасть в логах все время блокируются запросы к:

www.google.pl

www.google.lv

www.google.com.ua

www.google.nl

www.google.lt

и так далее по всем страновым доменам Гугла

для всех:

"violated-directive":"img-src

referrer":"http:\/\/yandex.ru\/clck\/jsredir?from=yandex.ru%3Bsearch%2F%3Bweb%

Вопрос причем тут yandex и домены гугла всех стран ?

Сайт у меня чисто российский.

Чего блин мне вписывать полсотни доменов гуглов в img-src ? или можно как то по маске это разрешить ? только надо ли ?

Еще кто то такое видел ?

На моих страницах есть кнопки социалок, в том числе G+, может это ? но с другой стороны с какого перепугу народ из хрен знает каких стран будет делать у меня на сайте и лайкать еще что то...

Часто еще лезет

https://ff-input.mxpnl.net или

https://cr-input.mxpnl.net

Тоже понятия не имею что это

Ну и неопознаваемые:

blocked-uri: asset

и

blocked-uri: data

---------- Добавлено 22.01.2017 в 14:00 ----------

Что и где надо обновить ?

Только что поставил последние версии Я.Советника в Хром и Мозилу - на моем сайте они по-прежнему полностью блокируются CSP. Для проверки заходил на Мвидео - там CSP нет и советник лезет в каждом товаре.

...

Странно, стал дальше проверять, включил Report-Only, но Я.Советник у меня не вылезает по-прежнему.

Если по кнопке вызвать расширение, то тогда показывает где еще есть, но самостоятельно на экран не вылезает...

А раньше то вылезал, и на других сайтах так и лезет по-прежнему, ничего не понимаю...

Может это быть связано с внедрением:

Header set X-Content-Type-Options: "nosniff"

Header set X-Frame-Options "SAMEORIGIN"

Header set X-XSS-Protection "1; mode=block"

и переходом всего сайта на https ?

Чёрт, это видимо был какой то глюк кеширования или еще непонятно чего, но теперь Советник из расширений Хрома и Файрфокса лезет при любых настройках CSP и даже установка скрипта рекламируемого Сторсоветника ему стала по барабану.

Печаль однако, остается надеяться что к действиям Anywayanyday присоединится еще кто то из крупняков и они таки доведут информацию до кого надо в Яндексе, что так делать нельзя.

У кого установлен https, ситуация с логами такая же или чуть меньше всякой хрени вылазит?

Камрады, а под admitad никто правила не затачивал? Пока приходится вылавливать *.admitad.com и *.dumedia.ru, но какие к нему еще домены нужны - неясно.