Сегодня пропал доступ в панель управления - после ввода логина/пароля форма перезагружается и в панель не пускает. Приходится восстанавливать пароль и входить по ссылке из почты.
Почините, что ли... А то много телодвижений получается...
У меня сайты коммерческой направленности. Дополнительно подключился к тематическим СРА-партнеркам. Это лучше, чем за те копейки, которые в последнее время приносит AdSense, показывать посетителям письки и сиськи от дебилов.
С общественного сайта (выпускников ВУЗ) тоже снял AdSense.
если сайт дорог - лучше вообще снять AdSense.
Не работает поиск по отелям Кыргызстана. Поиск отелей по городам (кроме Бишкека и Сары-Таш) список отелей выдает, но страницы отелей ведут на страницу 404.
Список по отелям Бишкека вообще не работает - 404 страница:
https://search.hotellook.com/?locationId=11478
Вчера в Opera 12 высколчило окно с предложением скачать этот файл, после чего насторожился.
Тоже снял AdSense - поставил на одних сайтах travelpayouts, на других - admitad. Все баннеры по теме, и говно от гугла теперь не мелькает.
По поводу:
img-src *.doubleclick.net
В этой секции загружается http://cm.g.doubleclick.net - он, судя по тому, что я нарыл, принадлежит к группе вредоносных доменов. Т.е. правило *.doubleclick.net его автоматически разрешает.
Предлагаю порассуждать на тему CSP для AdSense.
Тем, кто в танке: мешать сюда кучу другого шлака не нужно - ТОЛЬКО для AdSense, без разных метрик и прочей хрени.
Итак, выше были приведены домены для Adsense (дубли с HTTPS не привожу, чтобы не мешать чтению):
font-src *.googleapis.com fonts.gstatic.com frame-src googleads.g.doubleclick.net *.googleadservices.com *.googlesyndication.com img-src 'self' *.2mdn.net googleads.g.doubleclick.net *.googleapis.com pagead2.googlesyndication.com *.gstatic.com object-src googleads.g.doubleclick.net *.gstatic.com script-src 'self' 'unsafe-eval' 'unsafe-inline' googleads.g.doubleclick.net pagead2.googlesyndication.com *.gstatic.com style-src 'self' 'unsafe-inline' *.gstatic.com fonts.googleapis.com
На основании каких умозаключений составлен данный список? Как ранее писали, Adsense рекламные блоки загружает через iframe - на их содержимое мы влиять не можем, поскольку загружается оно с других ресурсов. Для загрузки этого содержимого нам нужно подключить скрипт по адресу: //pagead2.googlesyndication.com/pagead/js/adsbygoogle.js
В нем перечисляются домены pagead2.googlesyndication.com, googleads.g.doubleclick.net, \.google\.com, а также встроенные скрипты и стили.
Т.е. разрешить в CSP:
script-src 'unsafe-eval' 'unsafe-inline' googleads.g.doubleclick.net pagead2.googlesyndication.com style-src 'unsafe-inline'
Из этого скрипта подключается iframe, поэтому в CSP разрешаем:
frame-src googleads.g.doubleclick.net pagead2.googlesyndication.com
Все остальное содержимое, как я понимаю, загружается через iframe, и правила CSP на это не действуют.
Убрал со всех сайтов CSP - надоело мазахизмом заниматься, подстраивая свои сайты под браузеры Интернет-дебилов. По наблюдениям, посещаемость после этого немного выросла.
Посмотрел заголовки некоторых крупных Интернет-проектов, в том числе моей тематики, - никто не использует CSP.
Мышьяк прими. Или попроси того, у кого сайты парсил - он тебе бесплатно кирдык сделает.
Коллеги, помогите уточнить по поводу разрешения для скриптов unsafe-eval и unsafe-inline.
На сайте функции JavaScript вызываются из загружаемых файлов .js такими конструкциями (ниже код, который размещен непосредственно в HTML-коде сайта):
1. В функцию передаются параметры:
<script type="text/javascript">showLink('e-traffic.ru');</script>
или
<script type="text/javascript">showMenu('/mail/', 'Контакты');</script>
2. На странице задается переменная, передаваемая в вызываемую из файла функцию:
<script type="text/javascript">var email='name@list.ru';</script><script type="text/javascript" src="/js/mailto.js"></script>
3. Вызов функции:
<script type="text/javascript">showFooter();</script>
Будут ли эти конструции работать при запрете в CSP unsafe-eval или unsafe-inline?
