Я правлю свои сайты под CSP без использования инлайновых скриптов. Там, где это уже удалось зараженные клики исчезли. Приятно видеть, что даже в зараженном меджик плеером браузере показывается правильная реклама Директа. Одно только это вдохновляет на то, чтобы провести основательную работу над сайтом и сделать его безопасным для пользователя даже в зараженном браузере.
CSP для Метрики, Директа, кнопки "Поделиться" от Яндекса.
default-src 'self' *.yandex.ru; script-src 'self' *.yandex.ru *.yandex.st 'unsafe-eval' blob: mc.yandex.ru yandex.st; frame-src 'none';font-src 'none'; object-src 'none'; style-src 'self' 'unsafe-inline'; img-src 'self' *.yandex.ru *.yandex.net yastatic.net
