Цена клика растет - ЦТР падает, растет ЦТР - падает цена клика
Просто скрипт который вы тестировали этого не делает, а вот куча есть других, которые и заменяют и вставляют, к примеру TS Magic Player
Я тоже сделал адаптивный(скорее резиновый) дизайн для одного большого сайта и настроил CSP для него, пока вижу не большой прирост где то на 0,8 раза.
Гугл PageSpeed по 96%
Решить врятли, проблема на стороне гугла, решение только если отключить обьявления для мобильного, проверить яваскриптом
Ага, ошибочка вышла, но реклама на весь экран с предложением чего то установить все же есть.
мде, гугл так ничего и не решил, захожу на серч с телефона и вижу то рекламу на весь экран, жестко анимированые баннеры
Устанавливаете FireBug в браузер, устанавливаете мой способ на сайт, заходите на страницу сайта и смотрите в консоль FireBug, смотрите какие домены заблочило и добавляйте их, например
Показывает заблоченый домен/
Мы видим, что домен https://s.ytimg.com и он не вредоносный а ютубовский, блокируется в директиве object-src вот в эту директиву вставляем вот так https://*.ytimg.com *.ytimg.com ytimg.com
да и думаю мой код
foreach (array("Content-Security-Policy", "X-Content-Security-Policy", "X-WebKit-CSP") as $csp_type) { header($csp_type . ": " . $csp_def); }
стоит заменить на
header("Content-Security-Policy: " . $csp_def);
Воспользуйтесь этим способом /ru/forum/comment/13492499
И так, порылся, немного почитал, собрал все во едино, под настроил и немного избавился от ошибок, тестировалось на сайте с посещаемостью более 15к в сутки с разными операционками, мобилками и т.д.
Тут брал php-скрипт для обработки репортов /ru/forum/comment/13456921
Полностью избавится от ошибочных репотов не удалось.
Хак для всех движков и скриптов на PHP, в хтаккес ничего сунуть не нужно.
В самое начало главного файла движка-скрипта вставляем
/** Установка заголовков Content-Security-Policy*/$uri_report = " report-uri http://example.com/csp.php;"; // урл для репорта// Указания для CSP$csp_def = "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' counter.yadro.ru http://c.hit.ua *.yandex.ru yandex.st userapi.com *.google-analytics.com https://pagead2.googlesyndication.com *.googlesyndication.com pagead2.googlesyndication.com https://*.doubleclick.net *.doubleclick.net *.gstatic.com *.liveinternet.ru *.googleapis.com https://graph.facebook.com https://vk.com https://cdn.api.twitter.com http://connect.ok.ru http://connect.mail.ru; img-src 'self' data: counter.yadro.ru http://c.hit.ua vk.com yastatic.net *.yandex.ru *.googlesyndication.com *.google-analytics.com *.liveinternet.ru; style-src 'self' 'unsafe-inline'; object-src 'self' *.gstatic.com https://googleads.g.doubleclick.net http://googleads.g.doubleclick.net; frame-src 'self' vk.com *.vk.com https://vk.com https://*.vk.com *.doubleclick.net https://*.doubleclick.net *.yandex.ru *.youtube.com; font-src 'self' http://*.gstatic.com:*;{$uri_report}";// уберем все переносы$csp_def = str_replace("\r\n",'', $csp_def);$csp_def = str_replace("\n",'', $csp_def);// сформируем заголовкиforeach (array("Content-Security-Policy", "X-Content-Security-Policy", "X-WebKit-CSP") as $csp_type){ header($csp_type . ": " . $csp_def);}
В переменной $csp_def указывайте свои домены с которых чего можно, у меня же разрешены авторизация фейсбук, одноклассники, вконтакте, твитер и маилру. Далее адсенс, яндекс, гугл, лайвинтернет и хит.уа.
Очень удобно, что таким способом можно сразу пройтись по своим страницам и увидеть в консоли FireBug кому мы еще не разрешили подгружать скрипты.
P.S. Новичкам рекомендую не боятся всех этих CSP а просто вбить в поиск гугла Content-Security-Policy, отфильтровать сайты на русском и разобрать, что для чего указывается.
P.P.S. Некоторые ошибочные репорты идут скорее всего с зараженных компьютеров а не браузеров (это мысли).
Почитал на хабре в блоге Яндекса про CSP
и вот назрел вопрос, в новой технологии CSP можно указывать атрибут nonce, работает ли оно и можно ли его использовать? Ведь обычному люду намного проще в .htaccess указать
Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-eef8264c4994bf6409c51ac7c9614446'
и всем скриптам добавить данный атрибут
например
<script>alert("Заблокирован, отсутствует атрибут nonce")</script><script nonce="22168992a8d57a5d3a64ca73bb9fc669">alert("Заблокирован, потому что атрибут nonce не совпадает")</script><script nonce="eef8264c4994bf6409c51ac7c9614446">alert("Выполнен, потому что атрибут nonce валиден")</script><!-- Заблокирован, потому что атрибут nonce не совпадает --><script nonce="22168992a8d57a5d3a64ca73bb9fc669" src="https://otherdomain.com/invalid.js"></script>
Внимание! Информация взята здесь http://habrahabr.ru/company/yandex/blog/206508/%C2%AD/