Настройка CSP - Content Security Policy

Redbaron _chaos
На сайте с 12.08.2009
Offline
668
#591

LEOnidUKG, спасибо, поставил. Так как обнаружил и у себя эти .xyz. Хоть и не много, но есть!

---------- Добавлено 04.09.2015 в 01:09 ----------

Вроде все норм, но блокирует две нужные штуки)

1) >>>> BLOCK URL:https:\/\/mc.yandex.ru","status-code":200}}

Я и так и этак домен подставлял, не помогает. Что делаю не так?

2) BLOCK URL:http:\/\/мойсайт.ru\/shareTT.js"

Этот скрипт закладок залит на сайт, не соображу, как его разрешить? Свой домен разрешал, не помогает.

И вот такая фигня еще проскакивает:

>>>> BLOCK URL:http:\/\/мойсайт.ru","status-code":200}}

Гемблинг, беттинг, крипта на весь мир в 3snet, 1500+ офферов. ( https://clck.ru/TdZLM ) = = CPA.HOUSE - Топовая CPA сеть ( https://clck.ru/34Swci )
LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#592

Redbaron_chaos, надо разрешить:

https://mc.yandex.ru

и

http://mc.yandex.ru

Насчёт 2 и 3 надо переключить в csp.php репорты и посмотреть полные отчёты.

shareTT.js скорее всего куда-то ещё обращается зачем-то.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
ID
На сайте с 13.11.2011
Offline
33
#593
LEOnidUKG:
Кому надо в 1 файле: http://yourcommentit.ru/modulCSP.rar

Инструкция:

1. Копируем все папки и файлы в корень сайта
2. На папку csp права на запись 777
3. в файле .htaccess пишем:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src *;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st ;report-uri /csp.php"
</IfModule>

Извините, не смог пройти мимо.

Content Security Policy - сложный механизм, если у вас более-менее серьезный проект, вы цените своих пользователей и не настраиваете CSP ради настройки CSP - не следуйте подобным рекомендациям.

Плохое понимание принципов работы CSP может привести к ужасным последствиям.

Так что, либо вдумчиво изучайте как работает CSP на авторитетных ресурсах (а не с помощью подобных мануалов), либо обратитесь к специалистам.

Если вкратце, то могу описать правильный "путь" настройки CSP.

  • Устанавливаем виртуальную машину с чистой операционной системой и браузером (Chrome, Firefox - эти точно подойдут).
  • Настраиваем CSP в режиме Content-Security-Policy-Report-Only, разрешая только 'self'.
  • Идем в консоль браузера (только что установленного в чистой ОС виртуальной машины) и анализируем полученные ошибки (естественно, проанализируйте не одну страницу, чем больше, тем лучше):
    • если нет угрозы для безопасности сервиса - добавляем новое правило;
    • если есть - пытаемся настроить сервис так, чтобы подобных ошибок не возникало, ну либо соглашаемся на риск и добавляем правило.
  • Когда решите что вы всё настроили, оставляете CSP в режиме Content-Security-Policy-Report-Only, устанавливаете классный анализатор, и ещё с неделю анализируете полученные отчеты уже в нем, принцип действий такой же, как и в пункте 3.
  • И вот только теперь можно переводить CSP в "боевой" режим, но всё же периодически не забывая анализировать полученные результаты в анализаторе.
D.iK.iJ
На сайте с 26.05.2013
Offline
229
#594
Nostromo80:
На что ориентироваться при настройке ЦСП? На текстовые файлы отчетов в папке CSP, или на файлики с названиями доменов, которые появляются в той же папке

Можете открыть в Хроме консоль разработчика (Правая кнопка - показать код элемента) и пройтись по сайту. Там будет показано 90% ошибок. А если еще понажимать на разные кнопки "поделиться", то 99%.

LEOnidUKG:
frame-src *; - встраивать iframe могут все, ибо это очень любят тизерки

Не советую, правда. Из фрейма можно сделать переадресацию на платник или лендинг.

А что делать, если фрейм будет на 100% экрана? Стилями и не такое можно сделать, а они у вас тоже разрешены :)

Адаптивный дизайн в 2 строчки ( https://dikij.com/wm/adaptaciya-saytov.php ). + Принимаю заказы любой сложности ( https://searchengines.guru/ru/forum/926323 ). 💎 Еще я делаю классные кулоны с опалами ( https://mosaicopal.ru/ ).
hun6ry
На сайте с 17.11.2010
Offline
48
#595

LEOnidUKG, спасибо за разъяснения. Если не сложно, подскажите как быть с журналами от issuu.com, например: http://issuu.com/archipelagminsk/docs/private-house-20015-july ?

Кроме explorer нигде не открывается. Пишет вместо окна с журналом: "сервер не отвечает".

langemark
На сайте с 11.09.2009
Offline
148
#596

После установки защиты, перестало работать видео на сайте. Плеер и видео лежат на своем домене, но на экране Малевич. Никто не знает, что дописать в правило, чтобы работало видео?

Да прибудет с вами сила... (https://starwars.su)
N8
На сайте с 28.04.2014
Offline
47
#597

Парни, а кто-то знает, что это за звери?

insigit.com

kitbit.net

flash.quantserve.com

my2.imgsmail.ru

langemark
На сайте с 11.09.2009
Offline
148
#598

Народ, если на сайте не стоит рекламы и других сервисов яндекса, его домены нужно вносить в списки разрешенных? Или достаточно доменов партнерок, скрипты которых используются?

Redbaron _chaos
На сайте с 12.08.2009
Offline
668
#599

Посмотрел сейчас отчеты, что за пол дня собрал.

Кроме Аденса на сайти ни чего не весит.

Вот что наблочил:

jsc.marketgid.com

api.inafqjanby.ru

rwqckakqfq.ru

---------- Добавлено 04.09.2015 в 15:36 ----------

LEOnidUKG:
Redbaron_chaos, надо разрешить:

https://mc.yandex.ru
и
http://mc.yandex.ru

Не помогло:

>>>> BLOCK URL:https:\/\/mc.yandex.ru","source-file":"https:\/\/mc.yandex.ru","line-number":59,"column-number":132,"status-code":200}}

Буду смотреть, что там "на линиях")

LEOnidUKG
На сайте с 25.11.2006
Offline
1752
#600
DiKiJ:

Не советую, правда. Из фрейма можно сделать переадресацию на платник или лендинг.

А что делать, если фрейм будет на 100% экрана? Стилями и не такое можно сделать, а они у вас тоже разрешены :)

Вы правы!

Конечно лучше сделать вот так:

frame-src 'self' http://bzlwe.com http://*.bzlwe.com;

Я просто не подумал, что расширения просто тупо внедряют iframe и всё. Без скриптов.

---------- Добавлено 04.09.2015 в 19:26 ----------

Инструкцию обновил по ссылке.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий