Ilekor

Цена клика растет - ЦТР падает, растет ЦТР - падает цена клика

Просто скрипт который вы тестировали этого не делает, а вот куча есть других, которые и заменяют и вставляют, к примеру TS Magic Player

Я тоже сделал адаптивный(скорее резиновый) дизайн для одного большого сайта и настроил CSP для него, пока вижу не большой прирост где то на 0,8 раза.

Гугл PageSpeed по 96%

Решить врятли, проблема на стороне гугла, решение только если отключить обьявления для мобильного, проверить яваскриптом

Ага, ошибочка вышла, но реклама на весь экран с предложением чего то установить все же есть.

мде, гугл так ничего и не решил, захожу на серч с телефона и вижу то рекламу на весь экран, жестко анимированые баннеры

Устанавливаете FireBug в браузер, устанавливаете мой способ на сайт, заходите на страницу сайта и смотрите в консоль FireBug, смотрите какие домены заблочило и добавляйте их, например

Показывает заблоченый домен/

Мы видим, что домен https://s.ytimg.com и он не вредоносный а ютубовский, блокируется в директиве object-src вот в эту директиву вставляем вот так https://*.ytimg.com *.ytimg.com ytimg.com

да и думаю мой код

foreach (array("Content-Security-Policy", "X-Content-Security-Policy", "X-WebKit-CSP") as $csp_type)

{

    header($csp_type . ": " . $csp_def);

} 

стоит заменить на

header("Content-Security-Policy: " . $csp_def); 

Воспользуйтесь этим способом /ru/forum/comment/13492499

И так, порылся, немного почитал, собрал все во едино, под настроил и немного избавился от ошибок, тестировалось на сайте с посещаемостью более 15к в сутки с разными операционками, мобилками и т.д.

Тут брал php-скрипт для обработки репортов /ru/forum/comment/13456921

Полностью избавится от ошибочных репотов не удалось.

Хак для всех движков и скриптов на PHP, в хтаккес ничего сунуть не нужно.

В самое начало главного файла движка-скрипта вставляем

/*
* Установка заголовков Content-Security-Policy
*/
$uri_report = " report-uri http://example.com/csp.php;"; // урл для репорта
// Указания для CSP
$csp_def = "default-src 'self'; 
script-src 'self' 'unsafe-inline' 'unsafe-eval' counter.yadro.ru http://c.hit.ua *.yandex.ru yandex.st userapi.com *.google-analytics.com https://pagead2.googlesyndication.com *.googlesyndication.com pagead2.googlesyndication.com https://*.doubleclick.net *.doubleclick.net *.gstatic.com *.liveinternet.ru *.googleapis.com https://graph.facebook.com https://vk.com https://cdn.api.twitter.com http://connect.ok.ru http://connect.mail.ru; 
img-src 'self' data: counter.yadro.ru http://c.hit.ua vk.com yastatic.net *.yandex.ru *.googlesyndication.com *.google-analytics.com *.liveinternet.ru; 
style-src 'self' 'unsafe-inline'; 
object-src 'self' *.gstatic.com https://googleads.g.doubleclick.net http://googleads.g.doubleclick.net; 
frame-src 'self' vk.com *.vk.com https://vk.com https://*.vk.com *.doubleclick.net https://*.doubleclick.net *.yandex.ru *.youtube.com; 
font-src 'self' http://*.gstatic.com:*;{$uri_report}";
// уберем все переносы
$csp_def = str_replace("\r\n",'', $csp_def);
$csp_def = str_replace("\n",'', $csp_def);
// сформируем заголовки
foreach (array("Content-Security-Policy", "X-Content-Security-Policy", "X-WebKit-CSP") as $csp_type)
{
    header($csp_type . ": " . $csp_def);
}

В переменной $csp_def указывайте свои домены с которых чего можно, у меня же разрешены авторизация фейсбук, одноклассники, вконтакте, твитер и маилру. Далее адсенс, яндекс, гугл, лайвинтернет и хит.уа.

Очень удобно, что таким способом можно сразу пройтись по своим страницам и увидеть в консоли FireBug кому мы еще не разрешили подгружать скрипты.

P.S. Новичкам рекомендую не боятся всех этих CSP а просто вбить в поиск гугла Content-Security-Policy, отфильтровать сайты на русском и разобрать, что для чего указывается.

P.P.S. Некоторые ошибочные репорты идут скорее всего с зараженных компьютеров а не браузеров (это мысли).

Почитал на хабре в блоге Яндекса про CSP

и вот назрел вопрос, в новой технологии CSP можно указывать атрибут nonce, работает ли оно и можно ли его использовать? Ведь обычному люду намного проще в .htaccess указать

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-eef8264c4994bf6409c51ac7c9614446'

и всем скриптам добавить данный атрибут

например

<script>
alert("Заблокирован, отсутствует  атрибут nonce")
</script>

<script nonce="22168992a8d57a5d3a64ca73bb9fc669">
alert("Заблокирован, потому что атрибут nonce не совпадает")
</script>

<script nonce="eef8264c4994bf6409c51ac7c9614446">
alert("Выполнен, потому что атрибут nonce валиден")
</script>

<!-- Заблокирован, потому что атрибут nonce не совпадает -->
<script nonce="22168992a8d57a5d3a64ca73bb9fc669" src="https://otherdomain.com/invalid.js"></script>

Внимание! Информация взята здесь http://habrahabr.ru/company/yandex/blog/206508/%C2%AD/