Kaavain

Kaavain
Рейтинг
178
Регистрация
28.07.2015
Настройка CSP - Content Security Policy
anstrem:
Странно, а у меня вебвизор все показывает без картинок и стилей.
Тех. поддержка Метрики ответили (явно не очень уверенно) чтобы попробовал webvisor.com добавить в политики CSP
Добавил сразу во все секции. Результат очень странный.
Теперь без проблем стало грузиться больше страниц в вебвизоре, т.е. совет как бы немного помог, но не на 100%, т.к. все таки не все страницы.
Т.е. какие то страницы сайта отображаются полностью как на сайте, а какие то по-прежнему выдает без стилей и графики... хм, может дело то вообще не в CSP ?

P.S. Проверил. Все таки дело в CSP. На одной и той же сессии пользователя в вебвизоре - отключаешь CSP - наблюдаешь как он мечется по страницам сайта и все они отображаются идеально.
Включаешь CSP - получаешь больше половины страниц в той же сессии вебвизора в виде голого текста без форматирования и картинок...
Т.е. эффект то на лицо, но в report-uri ничего не сыпется... вот ведь зараза :(
Проблема еще в том что вебвизор же открывается в отдельном окне браузера без возможности добраться в нем до консоли и отладчика... поэтому ошибки непонятно как увидеть

У меня была подобная заморочка с Вебвизором - именно как будто стили не подгружались. Но тогдя я не использовал ЦСП, и как прошло не знаю - просто прошло само. Такое впечатление, что у фндекса там что-то в кеше застревает.

Настройка CSP - Content Security Policy
anstrem:
Подскажите кто знает что надо прописать в CSP чтобы Вебвизор Яндекса работал ?

При его работе идут запросы вида: b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net
Запихал это *.mtproxy.yandex.net во все части CSP, все равно получается, что первая страница сессии открывается нормально, а когда чел в сессии переходит по ссылке на другую страницу сайта, то я ее вижу в вебвизоре без стилей и графики, а в отчете CSP получаю:


csp-report":{"document-uri":"http:\/\/b5e24d2421664ce50e767ba545582d35.mtproxy.yandex.net\/viking?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","referrer":"http:\/\/aede8ed32dbf774e602708ea5ea8b387.mtproxy.yandex.net\/?6303803bd3fddc1b2260ee30a10a8db0e6c3b5f5","violated-directive":"style-src
...
"blocked-uri":"http:\/\/имя сайта","status-code":200

ну и тоже самое по img-src, script-src, connect-src

Хотя *.mtproxy.yandex.net прописано везде

Как с этим можно побороться ?

p.s. и еще кто нибудь знает что такое "blocked-uri":"asset" ? переодически выскакивает на запрос разных страниц сайта
"violated-directive":"script-src

У меня так и все работает: 

<ifModule mod_headers.c> 







 Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *.мойсайт1.net мойсайт1.net *.мойсайт2.fi мойсайт2.fi *.мойсайт3.se мойсайт3.se *.мойсайт4.de мойсайт4.de *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.facebook.net *.google.com googleapis.com *.googleapis.com *.gstatic.com gstatic.com *.yadro.ru *.facebook.com yastatic.net сайтплатежки1.com *.сайтплатежки1.com *.сайтплатежки2.ru сайтплатежки2.ru мойсайт5.ru *.мойсайт5.ru"







 </IfModule>
Настройка CSP - Content Security Policy
fliger:
В последние годы разработчики многих сайтов сошли с ума, испохабив их. У меня критерий простой: если сайт не открывается нормально в Opera 9.63, то это говносайт, а его разработчик - продвинутый даун. Гугл в этом смысле впереди планеты сей, хорошо еще, на его почте есть легкий вариант сайта. Но почте Гугла пришел кирдык, поскольку старые версии The Bat! ее не скачивают - сертификат они, видишь ли, поменяли.
Это примерно так: приехал ты на бензозаправку, хочешь бензина налить, а тебе отвечают. Мы установили новые колонки, они не подходят к вашему автомобилю - меняйте автомобиль на самый современный. Интернет движется в этом направлении - масштабная дебилизация. Уже нет той почты Mail.ru, которая была в первые годы ее существования, нет того Яндекса, Гугла. Некоторые банки движутся в этом же направлении, теряя клиентов. Дауны соревнуются в сайтостроении, делая их красивыми с разными кнопочками-плюшечками... И не понимают, что люди в Интернет идут за информацией, которую хотят получить очень быстро с любого железа за пару кликов. И на красивости им глубоко насра... наплевать.

Хех. Мой сайт работает под ИЕ6 в Виндус ХР. Но вопрос не в этом.

По результатам наблюдения в течение 3-х дней обнаружил ОДИН странный переход на сайт, которого не знаю. При том, что без настроек CSP переходов было 10-15.

Платон мне ответил так:

К сожалению, не могу прокомментировать, кто и с какой целью осуществляет подобные посещения. Но при разработке наших алгоритмов мы учитывали такие ситуации, поэтому возможность их влияния на позиции того или иного сайта минимизирована. Таким образом, если Ваш сайт продвигается в интересах пользователей, не используя каких-либо техник, направленных на обман поисковых систем, то беспокоиться по поводу таких посещений Вам не стоит: на присутствие Вашего сайта в поиске они повлиять не должны.

Очень скользкая формулировка "присутствие"... При моих ТОП1-3 по всем НЧ и ВЧ, мне "присутствия" явно мало :-)

С WWW и Без WWW
Anonyk:
Люди помогите пожалуйста, КАКОЙ мне htaccess надо прописать чтобы:
1) Зайдя по http://www.domen.ru открывалась именно эта строка.
2) Зайдя по http://domen.ru открывалась именно эта строка. БЕЗ www
НЕ НУЖНЫ НИКАКИЕ РЕДИРЕКТЫ

Я не гуру, конечно, но эта настройка может быть прописана на хостинге. По умолчанию, например, у Зенона www и без - как и положено ,есть два разных домена. Но можно поставить галку, будут одним.

Странное желание, все делают как раз наоборот :-)

htacess наоборот делает - он ПЕРЕнаправляет, то есть меняет что-то. Сделать так, чтобы он не менял (точнее возвращал перенаправление которое кто-то устраивает) нельзя.

Напишите в хостинг, это быстрее и проще. Если хтаксесс пустой.

Настройка CSP - Content Security Policy
Ladycharm:
Адблок (и все другие плагины) работают на внутренней вкладке (странице) браузера, на неё ваша CSP не действует, так же как она не действует и на остальные вкладки браузера. CSP может заблокировать только то, что на вашей странице, но туда Адблок ничего не вставляет.
Для Адблока действует его собственная CSP, которая прописана в его манифесте (для Хрома).

А вот вредоносные плагины подмены рекламы вынуждены вставлять её на ваши страницы, поэтому их можно заблокировать.

PS: В старых версиях Хрома - Адблок можно было заблокировать и без CSP. Но, увы, Хром обновляется автоматически.

Можно. Только надо иметь ввиду, что некоторые пока мало используемые директивы типа: plugin-types, form-action и sandbox не инициируются из default-src.

Да, они не нужны, но можете их и оставить, эти домены вряд ли будут распространять заразу.

Working Like A Sharm! Сегодня ни одного перехода с моего сайта на говно типа маркетгида! Ни единого. Уфф... как говорится....

Сайт вроде работает, думаю не должно быть подвохов? Открыл консоль в Хроме и полазил по всем страничкам, прошел путь оформления заказа - ни одной красной строчки....

Настройка CSP - Content Security Policy

Простите, если туплю... Читал много страниц, но уже мозг клинит... Я столкнулся с этими говенными marketgig и ad-tizer. Решил врубить через htacess CSP. Насмотрелся примеров, но не понял одного:

Если директива default-src определяет политику по умолчанию для всего, для чего она не задана в явном виде, то можно ли использовать ТОЛЬКО эту директиву (остальные script-src, style-src и т.д. просто опустить), если у меня на сайте фактически только счетчики берут что-то снаружи, все остальное (картинки, стили, скрипты) все лежит на моем сайте? Я в итоге написал только это:

Header set Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' *.trafaret.net trafaret.net *.kaavain.fi kaavain.fi *.schablonhuset.se schablonhuset.se *.schablonenreich.de schablonenreich.de *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.facebook.net *.google.com *.yadro.ru *.facebook.com yastatic.net paypal.com *.paypal.com *.uniteller.ru uniteller.ru

И то не уверен про пэйпал и юнителлер - это агрегаторы карточных платежей, на них просто переход и все их скрипты только у них и работают...

Кроме 'self' указал в явом виде свои хосты, вроде как советуют для совместимости... Прогнал в Хроме, хром заблокированных не показал скриптов...

Увеличился ли у Вас процент не выкупа заказов с наложенным платежом?
Кот-Храпун:
За 2 месяца масса всего может измениться, от отсутствия денег до уже "нафиг не нужно", а посылка будет там еще месяц лежать и вернется только через 3 месяца после отправки и опять конскую сумму за пересыл платить. Кому это надо? Пусть обижаются.

---------- Добавлено 21.10.2015 в 17:03 ----------

Кто нибудь пробовал как то доверие к магазину повышать, ну там более полные контакты, адрес офиса-склада с реальными фотками и т.д. Есть от этого толк?

Здесь тупой расчет. Возвратов у меня 1-2%, если я откажусь от наложки то потеряю порядка 40% заказов...

Понятно, что если возвратов 30% и при этом прибыль 20% с заказа, то ну их нафиг.

Увеличился ли у Вас процент не выкупа заказов с наложенным платежом?
Кот-Храпун:
А как с отдаленными регионами работаете в плане наложки?

На Камчатку посылки по полтора месяца идут, потом там лежат, потом деньги обратно и в итоге получается баблос зависает на 2 месяца, доставка дорогая, а если еще и не выкупят...

Также, как и со всеми - пытаемся мотивировать на предоплату, не получается - обычная наложка. Я бы на месте жителя Петропавловска обиделся бы подобной дискриминации и из принципа покупать бы не стал в магазине где "удаленному региону" только по предоплате.

Увеличился ли у Вас процент не выкупа заказов с наложенным платежом?
humbert:
Товар часы, наложкой отправлял 99% заказов, невыкуп был в пределах 5-10 процентов, потом стало больше. Отказался от наложки, число заказов сократилось в разы.

На все рассказы, что вам дешевле оплатить товар вперед и потом получить его, чем переплачивать почте проценты за наложку - не действует, люди (хотел написать другое слово) не понимают этого. Даже сделал бесплатную доставку - не помогает.

Включил наложку - 50% невыкупа стало, жесть какая-то. Выключил нафиг.

Основной довод - мы вам не доверяем, наложкой спокойно, мол оплатим как только получим товар. Блииин, да вы получите пакет, а что в пакете вы все равно не видите и распечатать вам его не дадут, пока не оплатите.

Не, мы вам все равно недоверяем - в ответ говорю, а вам верить можно? Ну мы же не получим товар пока не оплатим...А если вы не придете получать, забьете, кинете, я то за доставку к вам уже оплатил плюс за возврат платить буду. Вешают трубку.

Вот такая вот фигня:)

Увы, но с этим надо как-то уживаться. Есть наложка - риск невыкупа. Нет наложки - потеря половины потенциальных заказов. Бесполезно агитировать клиента при ОТСУТСТВИИ наложки на предоплату, единственный выход - мотивировать оплачивать вперед скидками, доставкой первым классом. Подключать сервис типа почтатрекинг, чтобы долбил клиента СМС и письмами. Заводить черные списки. Переходить на доставщиков типа Шоплогистикс которые во многие города предлагают курьерскую доставку по цене ПР и даже дешевле в итоге.

Наложка всегда была и будет. Существует идиотское мнение что "в Европе вот все по предоплате, и у нас надо воспитывать". Во-первых, воспитывать клиента - это не лучший способ самоубийства. А во-вторых, про то, что в Европе нет наложки и все по предоплате говорят только те, кто ни хрена не знает о работе ИМ в Европе....

Прозвонеры из 2Gis
youni:
я не имею претензий к качеству карт и информации. я имею претензии к рекламной деятельности, которая приносит ущерб, отнимая время.

В том, что дохрена тупых спамеров парсят их базу и потом ее продают они же не виноваты? Мои два магазина болтаются в 2ГИС уже много лет, с основания, наверное. Прозвоны всегда очень корректны и не навязчивы. Однажды только было у меня недовольство - позвонили одновременно на два телефона, а я в офисе был один.

1... 121122123124125126127128129 130
Всего: 1296