Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1... 363738394041424344 ...101
V2
На сайте с 17.12.2013
Offline
63
Vipper222
#391

Что-то очень много последнее время стало блокироваться домена am15.net который принадлежит рекламной сети advmaker с которой я не работаю.

Его точно не могут использовать ЯД и Адсенс ?

Ladycharm:
Жду, когда кто-нибудь их "айфонщиков" CSP поставит и расскажет "чо происходит".

Да нормально вроде всё. В семье есть одна такая гадость как Айфон, смотрел с него свои сайты которые работают с CSP, ничего подозрительного не увидел.

mebel-make (http://mebel-make.ru/)
Резкое падение позиций в Яндекс, станьте же и Продажа домена, тИц 130,
big boy
На сайте с 18.11.2006
Offline
356
big boy
#392
Vipper222:
Что-то очень много последнее время стало блокироваться домена am15.net который принадлежит рекламной сети advmaker с которой я не работаю.
Его точно не могут использовать ЯД и Адсенс ?

Этот домен во многих базах в блек листе. Смею предположить, что его используют тулбарщики.

✔ Как я генерирую статьи через ИИ, которые приносят трафик - https://webmasta.ru/blog/16-vkalyvayut-roboty-ne-chelovek-stati-s-pomoschyu-ii-kotorye-prinosyat-trafik
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#393
Vipper222:
Что-то очень много последнее время стало блокироваться домена am15.net который принадлежит рекламной сети advmaker с которой я не работаю.
Его точно не могут использовать ЯД и Адсенс ?

Реклама Адсенс работает на платформе doubleclick.net, и использует только собственные скрипты для размещения баннеров и фреймов. Иначе они не смогут таргетировать рекламу, отслеживать конверсию, учитывать клики и тп.

У advmaker/am15.net - свои скрипты и свой ифрейм.

У Директа - то же самое. Плюс, в скрипты Директа встроена Метрика - он тоже всё подсчитывает сам. К тому же, Директ не размещается в iframe, а скрипты AdvMaker - показывают рекламу именно в ифрейме, посмотрите их скрипты.

am15.net - тулбарщики и всякое malware. За исключением случаев сознательной установки вебмастером рекламы от AdvMaker (кроме подпольной, у AdvMaker-а есть и белая официальная партнёрская программа).

Vipper222:
Да нормально вроде всё. В семье есть одна такая гадость как Айфон, смотрел с него свои сайты которые работают с CSP, ничего подозрительного не увидел.

Это радует. Ещё бы посмотреть, что при этом сыпется в отчётах CSP. Зайти вечером, когда кроме вас с айфоном никого нет на сайте и проверить.

Adfinity - Ваш надежный Качество отбора сайтов в Заблокировали за выстроенную чужую
V2
На сайте с 17.12.2013
Offline
63
Vipper222
#394

Ladycharm, Скажите пожалуйста как будет правильно выглядеть секция object-src в которой всё разрешено?

У меня в одном из разделов сайта висит флеш проигрыватель для прослушивания радио.

Что интересно, если через Хром слушать, то CSP не блокирует радиостанции, а вот Мозила блокирует. Когда CSP установил, проверил радио в Хроме, все работает и успокоился. А сегодня юзеры начали в обратку жаловаться, что радио перестало работать, начал разбираться, действительно, в Мозиле блочит. Пришлось весь плейлист заносить в CSP.

Сейчас думаю как в nginx правильно все разрешить в определенном location

Ladycharm:
Это радует. Ещё бы посмотреть, что при этом сыпется в отчётах CSP. Зайти вечером, когда кроме вас с айфоном никого нет на сайте и проверить

Обязательно проверю как будет такая возможность. Правда как правило на сайте всегда есть народ. Надо будет по моему ip собрать отчеты.

Переходы с сайта на Резкое падение позиций в Оцените сайт
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#395
Vipper222:
как будет правильно выглядеть секция object-src в которой всё разрешено?

Так повелось исстари, что все браузеры понимают *, то есть object-src *; откроет все протоколы и все домены.

Хотя, согласно строгой нотации w3c, * можно использовать только вместо доменного имени и номера порта. Вместо протокола * не используется.

То есть, w3c требует в директиве перечислять протоколы:

object-src http://* https://*;

или

object-src http: https:;

обе записи эквивалентны и работают так же, как и:

object-src *;

Проверено тестами.

Vipper222:
У меня в одном из разделов сайта висит флеш проигрыватель для прослушивания радио.
Что интересно, если через Хром слушать, то CSP не блокирует радиостанции, а вот Мозила блокирует.

Посмотрите в Мозилле в консоли яваскрипта что блокируется CSP.

Плееры, кроме object-src, могут использовать connect-src для потокового видео/аудио.

Ходит ли Google по Как задать src порт Резкое падение позиций в
big boy
На сайте с 18.11.2006
Offline
356
big boy
#396

Пообщался с Платоном и удалось кое что выяснить. В процессе общения так же задавал вопросы личного характера, так что цитаты только по теме (ответы курсивом):


А что вы можете сказать по поводу Content Security Policy? Как в целом это может повлиять (или нет) на ранжирование сайта? Это защищает сайт от подмены кода в браузерах пользователей. Учитывает ли этот момент Яндекс?
Санкций за это у нас не предусмотрено. Надеюсь, я ответил на ваш вопрос.

Спасибо за ответ! Только я немного не понял. Вы имеете ввиду (1) отсутствие санкций за использование Content Security Policy или то, что у вас (2) нет санкций за подмену кода на сайтах на стороне клиента различными тулбарами, за которые вебмастер не в ответе?
Верно и (1) и (2).

Так что за левые переходы выходит санкций нет. Что собственно логично, ибо пришлось бы банить практически все сайты. Я думаю, что яшу этот шум научили фильтровать на автомате. А может и нет.

Изменение поисковой выдачи 01.11.13 Что за сервис? Подать в суд за
Xaron
На сайте с 24.05.2012
Offline
77
Xaron
#397

Делал как здесь в примерах приводили код php-файла, формирующего отчет - по какой то причине не создает файлик с отчетом.

Создавать должен (заголовок отдает - смотрел через rexswain.com), проверял на коде LI, не добавлял его в перечень - на сайте счетчик не срабатывал, но отчет не создавался (права 777 указывал).

Сервис cspbuilder.info не работает второй день, так что им воспользоваться не получилось.

Могу судить только по отсутствию переходов по статистике LI, что CSP работает как надо, но хочу знать, что и сколько ломиться.

Видел в теме упоминание, что по report-uri можно на e-mail отправлять - как это сделать?

И второй момент.

При вот этой политике:


default-src·'self'·*.САЙТ.РФ·САЙТ.РФ;·

script-src·'self'·'unsafe-inline'·'unsafe-eval'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.ru·yandex.ru·*.yandex.net·yandex.st·*.yandex.st·counter.yadro.ru·*.yadro.ru·https://*.yadro.ru·https://counter.yadro.ru;·

frame-src·'self'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.ru·yandex.ru·*.yandex.net·yandex.st·*.yandex.st;·

connect-src·'self'·*.САЙТ.РФ·САЙТ.РФ·mc.yandex.ru·counter.yadro.ru·*.yadro.ru·https://*.yadro.ru·https://counter.yadro.ru;·

style-src·'self'·'unsafe-inline'·'unsafe-eval'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.ru·https://*.yandex.ru·data:;·

font-src·'self'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.ru·https://*.yandex.ru·data:;·

img-src·'self'·*.САЙТ.РФ·САЙТ.РФ·*.yandex.net·*.yandex.ru·yandex.ru·yandex.st·https://*.yandex.net·https://*.yandex.ru·counter.yadro.ru·*.yadro.ru·https://*.yadro.ru·https://counter.yadro.ru·data:;·

object-src·'self'·an.yandex.ru·https://an.yandex.ru;

не срабатывает вот этот скрипт LI по учету переходов по ссылкам. Как исправить?

P.S. На сайте используется яндекс метрика, счетчик LI + скрипт учета ссылок, рекламная сеть яндекса, кнопки соц. сетей share42 (еще пара мелких примочек, но они работают с использованием скриптов, которые подгружаю с *.yandex.st).

Беда wap рынка. Гугл GA теряет половину трафика Резкое падение позиций в
Malcolm
На сайте с 02.05.2007
Offline
119
Malcolm
#398
Xaron:
не срабатывает вот этот скрипт LI по учету переходов по ссылкам. Как исправить?

Добавить www.liveinternet.ru в img-src

Xaron
На сайте с 24.05.2012
Offline
77
Xaron
#399
Malcolm:
в img-src

Почему сюда?

Не фурычит в смысле.

Ilekor
На сайте с 22.04.2009
Offline
138
Ilekor
#400
Xaron:
Почему сюда?
Не фурычит в смысле.

http://*.yadro.ru https://*.yadro.ru вставить в img-src

Лучший дорген 21 века AgDor(http://agdor.info)
1... 363738394041424344 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий