В последние годы разработчики многих сайтов сошли с ума, испохабив их. У меня критерий простой: если сайт не открывается нормально в Opera 9.63, то это говносайт, а его разработчик - продвинутый даун. Гугл в этом смысле впереди планеты сей, хорошо еще, на его почте есть легкий вариант сайта. Но почте Гугла пришел кирдык, поскольку старые версии The Bat! ее не скачивают - сертификат они, видишь ли, поменяли.
Это примерно так: приехал ты на бензозаправку, хочешь бензина налить, а тебе отвечают. Мы установили новые колонки, они не подходят к вашему автомобилю - меняйте автомобиль на самый современный. Интернет движется в этом направлении - масштабная дебилизация. Уже нет той почты Mail.ru, которая была в первые годы ее существования, нет того Яндекса, Гугла. Некоторые банки движутся в этом же направлении, теряя клиентов. Дауны соревнуются в сайтостроении, делая их красивыми с разными кнопочками-плюшечками... И не понимают, что люди в Интернет идут за информацией, которую хотят получить очень быстро с любого железа за пару кликов. И на красивости им глубоко насра... наплевать.
Не знаю, как другие, а я здесь в основном сообщения Ladycharm отслеживаю, ибо спасибо ей за проделанный труд и желание делиться его результатами с другими. Свои правила CSP составил исключительно по рекомендациям Ladycharm.
Судя по тому, какое дерьмо лезет через object-src, - не очень хорошее решение.
Из отчета:
object-src режет http://pagead2.googlesyndication.com
Вставлять этот домен для AdSense в object-src?
Чтобы легче читалось, убрал все дубли доменов AdSense с https://
default-src 'self';
connect-src 'none';
media-src 'none';
font-src *.googleapis.com *.gstatic.com;
frame-src *.doubleclick.net *.googleadservices.com *.googlesyndication.com;
img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com;
object-src *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com;
script-src 'self' 'unsafe-eval' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com;
style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com;
Хотелось бы получить исчерпывающий список доменов по каждому правилу ТОЛЬКО ДЛЯ AdSense - чтобы не было ничего лишнего.
Перелопатил всю тему и попытался собрать воедино то, что нужно для работы ТОЛЬКО AdSense.
В этом коде указаны только self (используется в сочетании МОЙ_ДОМЕН) и домены для AdSense). В default-src почему-то режет googleads.g.doubleclick.net, поэтому вставил его туда (раньше этого не наблюдал).
Поправьте меня, коллеги, если что-то упустил и вставил лишнее для AdSense.
default-src 'self' *.doubleclick.net https://*.doubleclick.net; connect-src 'none'; media-src 'none'; font-src *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com; frame-src *.doubleclick.net *.googleadservices.com *.googlesyndication.com https://*.doubleclick.net https://*.googleadservices.com https://*.googlesyndication.com; img-src 'self' *.2mdn.net *.doubleclick.net *.googleapis.com *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googleapis.com https://*.googlesyndication.com https://*.gstatic.com; object-src *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com; script-src 'self' 'unsafe-inline' *.2mdn.net *.doubleclick.net *.googlesyndication.com *.gstatic.com https://*.2mdn.net https://*.doubleclick.net https://*.googlesyndication.com https://*.gstatic.com; style-src 'self' 'unsafe-inline' *.googleapis.com *.gstatic.com https://*.googleapis.com https://*.gstatic.com;
