Настройка CSP - Content Security Policy

LEOnidUKG, спасибо, поставил. Так как обнаружил и у себя эти .xyz. Хоть и не много, но есть!

---------- Добавлено 04.09.2015 в 01:09 ----------

Вроде все норм, но блокирует две нужные штуки)

1) >>>> BLOCK URL:https:\/\/mc.yandex.ru","status-code":200}}

Я и так и этак домен подставлял, не помогает. Что делаю не так?

2) BLOCK URL:http:\/\/мойсайт.ru\/shareTT.js"

Этот скрипт закладок залит на сайт, не соображу, как его разрешить? Свой домен разрешал, не помогает.

И вот такая фигня еще проскакивает:

>>>> BLOCK URL:http:\/\/мойсайт.ru","status-code":200}}

Redbaron_chaos, надо разрешить:

https://mc.yandex.ru

и

http://mc.yandex.ru

Насчёт 2 и 3 надо переключить в csp.php репорты и посмотреть полные отчёты.

shareTT.js скорее всего куда-то ещё обращается зачем-то.

Извините, не смог пройти мимо.

Content Security Policy - сложный механизм, если у вас более-менее серьезный проект, вы цените своих пользователей и не настраиваете CSP ради настройки CSP - не следуйте подобным рекомендациям.

Плохое понимание принципов работы CSP может привести к ужасным последствиям.

Так что, либо вдумчиво изучайте как работает CSP на авторитетных ресурсах (а не с помощью подобных мануалов), либо обратитесь к специалистам.

Если вкратце, то могу описать правильный "путь" настройки CSP.

• Устанавливаем виртуальную машину с чистой операционной системой и браузером (Chrome, Firefox - эти точно подойдут).
• Настраиваем CSP в режиме Content-Security-Policy-Report-Only, разрешая только 'self'.
• Идем в консоль браузера (только что установленного в чистой ОС виртуальной машины) и анализируем полученные ошибки (естественно, проанализируйте не одну страницу, чем больше, тем лучше):
• если нет угрозы для безопасности сервиса - добавляем новое правило;
• если есть - пытаемся настроить сервис так, чтобы подобных ошибок не возникало, ну либо соглашаемся на риск и добавляем правило.
• Когда решите что вы всё настроили, оставляете CSP в режиме Content-Security-Policy-Report-Only, устанавливаете классный анализатор, и ещё с неделю анализируете полученные отчеты уже в нем, принцип действий такой же, как и в пункте 3.
• И вот только теперь можно переводить CSP в "боевой" режим, но всё же периодически не забывая анализировать полученные результаты в анализаторе.

Можете открыть в Хроме консоль разработчика (Правая кнопка - показать код элемента) и пройтись по сайту. Там будет показано 90% ошибок. А если еще понажимать на разные кнопки "поделиться", то 99%.

Не советую, правда. Из фрейма можно сделать переадресацию на платник или лендинг.

А что делать, если фрейм будет на 100% экрана? Стилями и не такое можно сделать, а они у вас тоже разрешены :)

LEOnidUKG, спасибо за разъяснения. Если не сложно, подскажите как быть с журналами от issuu.com, например: http://issuu.com/archipelagminsk/docs/private-house-20015-july ?

Кроме explorer нигде не открывается. Пишет вместо окна с журналом: "сервер не отвечает".

После установки защиты, перестало работать видео на сайте. Плеер и видео лежат на своем домене, но на экране Малевич. Никто не знает, что дописать в правило, чтобы работало видео?

Парни, а кто-то знает, что это за звери?

insigit.com

kitbit.net

flash.quantserve.com

my2.imgsmail.ru

Народ, если на сайте не стоит рекламы и других сервисов яндекса, его домены нужно вносить в списки разрешенных? Или достаточно доменов партнерок, скрипты которых используются?

Посмотрел сейчас отчеты, что за пол дня собрал.

Кроме Аденса на сайти ни чего не весит.

Вот что наблочил:

jsc.marketgid.com

api.inafqjanby.ru

rwqckakqfq.ru

---------- Добавлено 04.09.2015 в 15:36 ----------

Не помогло:

>>>> BLOCK URL:https:\/\/mc.yandex.ru","source-file":"https:\/\/mc.yandex.ru","line-number":59,"column-number":132,"status-code":200}}

Буду смотреть, что там "на линиях")

Вы правы!

Конечно лучше сделать вот так:

frame-src 'self' http://bzlwe.com http://*.bzlwe.com;

Я просто не подумал, что расширения просто тупо внедряют iframe и всё. Без скриптов.

---------- Добавлено 04.09.2015 в 19:26 ----------

Инструкцию обновил по ссылке.