Когда в каком-либо рекламном коде есть картинка по протоколу http, и параметр block-all-mixed-content не установлен, хром убирает замочек возле адресной строки и пишет, что сайт не защищён, так на странице присутствует смешанный контент. По крайней мере так было где-то пол года назад.
Если блокировать смешанный контент, то получается, что показ рекламы по http не будет учтен. Это мои предположения. Поэтому видимо лучше установить upgrade-insecure-requests.
Просто хотелось услышать чей-либо опыт в данном вопросе.
Подскажите, пожалуйста, правильный ли 301 редирект для nginx. Необходимо swf файлы с разными названиями, находящиеся в https://www.site.ru/folder1/folder2/file-name.swf , редиректить на категорию https://www.site.ru/folder1/folder2
rewrite ^folder1/folder2/(.+)\.swf$ https://www.site.ru/folder1/folder2 permanent;
Также в каких случаях необходимо данный редирет размещать в location / { ... } ?
Подскажите, пожалуйста, еще такой момент. Если делать редирект с несуществующих swf из одного каталога на главную страницу этого каталога. Это может как-то негативно сказаться на главной странице каталога?
Если файлов много, то не лучше ли будет использовать редирект на nginx, чтобы снизить нагрузку на сервер?
Может быть кому-нибудь пригодится - здесь можно найти хоть какую-нибудь информацию о многочисленных трекерах, которые часто встречаются в логах csp
Следующие параметры nginx также не решают проблему...
client_header_buffer_size 16k;
client_body_buffer_size 32m;
large_client_header_buffers 16 32k;
proxy_buffers 128 128k;
proxy_buffer_size 128k;
Кто-нибудь может пояснить, что это за скрипт такой https://adservice.google.ru/adsid/integrator.js ?
Попытался добавить заголовок с помощью nginx. За передачу заголовка отвечает модуль ngx_http_headers_module
Не сразу понял, что этот модуль уже есть "из коробки", и его устанавливать не надо.
В общем добавил запись add_header Content-Security-Policy "default-src 'self';"; и заголовок передался без проблем.
Но стоит добавить заголовок полностью, то появляется ошибка [emerg] too long parameter, probably missing terminating """ character in /etc/nginx/nginx.conf:92
В этоге выяснил, что nginx ругается на запись между кавычками, если она превышвет 4090 байт.
Может быть есть какой-нибудь способ увеличить этот лимит?
Все тестирования провожу только ночью, поэтому все еще не испробовал все предложенные варианты)
Версия Apache/2.2.16. Я не администратор, просто предположил, что с заголовками сам справлюсь...
Через nginx тоже пробовал передать заголовок.
add_header Content-Security-Policy "default-src 'self';";
Но тест конфигурационного файла показал ошибку:
[emerg] too long parameter, probably missing terminating """ character in /etc/nginx/nginx.conf
Попробовал добавить заголовок в apache2.conf:
Header set Content-Security-Policy "default-src 'self' ..."
Заголовок передался без проблем. А вот когда я увеличил длину строки больше 8192 байт, то появилась ошибка. На этот раз ошибку 502 вызывал nginx, хотя в конфиге nginx были выставлены следующие параметры
client_header_buffer_size 4k;
large_client_header_buffers 8 16k;
Уровень логирования был crit, и ошибок в логе зафиксировано не было.
