kohotnik

Да тут я неправильно выразился.

У меня описаны все основные директивы: default-src, script-src, style-src, img-src, font-src, media-src, child-src, connect-src, object-src. Какие еще нужны не подскажите?

Здравствуйте

Сафари и Эдж просят записать домены в default-src, например, facebook и т.д. Стоит ли это делать?

И если там их прописать, то можно удалить эти домены во всех остальных директивах (script-src, img-src и т.д.)?

Ladycharm, Здравствуйте!

В отчете проскочила mx://res/reader-mode/reader.html во frame-src. Я так понимаю это режим чтения в браузере. Подскажите, пожалуйста, как это можно добавить в разрешения.

{
    "csp-report": {
        "document-uri": "http://ohotnik-kolomna.ru/oruzie/product_narez/ckc-op.html",
        "referrer": "",
        "violated-directive": "frame-src 'self' http://vk.com https://vk.com http://login.vk.com https://login.vk.com http://*.facebook.com https://*.facebook.com https://*.ok.ru http://*.ok.ru http://*.addthis.com https://*.addthis.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.youtube.com https://www.youtube.com ",
        "original-policy": "default-src 'self' http://ohotnik-kolomna.ru ; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://ssl.google-analytics.com https://ssl.google-analytics.com http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com https://login.vk.com http://login.vk.com http://www.google-analytics.com https://www.google-analytics.com http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://st.top100.ru https://st.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.odnoklassniki.ru https://www.odnoklassniki.ru http://www.reddit.com https://www.reddit.com https://www.linkedin.com http://www.linkedin.com http://injections.adguard.com https://injections.adguard.com http://counter.rambler.ru https://counter.rambler.ru ; style-src 'self' 'unsafe-inline' http://*.googleapis.com https://*.googleapis.com http://*.gstatic.com https://*.gstatic.com; img-src 'self' data: http://*.yadro.ru https://vk.com http://vk.com http://top-fwz1.mail.ru http://www.google-analytics.com https://www.google-analytics.com https://*.doubleclick.net http://*.doubleclick.net https://*.facebook.com http://*.facebook.com http://counter.rambler.ru https://counter.rambler.ru http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.addthis.com https://*.addthis.com http://*.gstatic.com https://*.gstatic.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://*.googleapis.com https://*.googleapis.com http://www.adobe.com https://www.adobe.com http://m.addthisedge.com https://m.addthisedge.com https://apis.google.com http://apis.google.com ; font-src 'self' http://fonts.gstatic.com https://fonts.gstatic.com ; media-src 'self'; frame-src 'self' http://vk.com https://vk.com http://login.vk.com https://login.vk.com http://*.facebook.com https://*.facebook.com https://*.ok.ru http://*.ok.ru http://*.addthis.com https://*.addthis.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.youtube.com https://www.youtube.com ; connect-src 'self' http://www.google-analytics.com https://www.google-analytics.com http://*.addthis.com https://*.addthis.com https://m.addthisedge.com http://m.addthisedge.com ; report-uri  https://report-uri.io/report/902149f45b2c02508d9587ab45c98de3  ;",
        "blocked-uri": "mx://res/reader-mode/reader.html"
    }
}

И еще, много переходов происходит на mobivid.net, clike.su и adguard.com можно ли этого избежать? Поможет ли добавление заголовков X-Frame-Options, X-XSS-Protection, X-Content-Type-Options?

Также часто в браузерах хром появляется asset в blocked-uri. С чем это может быть связано?

Отчет:

{
    "csp-report": {
        "document-uri": "http://ohotnik-kolomna.ru/oruzie/glad.html",
        "referrer": "",
        "violated-directive": "script-src 'self' 'unsafe-inline' 'unsafe-eval' http://ssl.google-analytics.com https://ssl.google-analytics.com http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com https://login.vk.com http://login.vk.com http://www.google-analytics.com https://www.google-analytics.com http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://st.top100.ru https://st.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.odnoklassniki.ru https://www.odnoklassniki.ru http://www.reddit.com https://www.reddit.com https://www.linkedin.com http://www.linkedin.com http://injections.adguard.com https://injections.adguard.com http://counter.rambler.ru https://counter.rambler.ru ",
        "effective-directive": "script-src",
        "original-policy": "default-src 'self' http://ohotnik-kolomna.ru ; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://ssl.google-analytics.com https://ssl.google-analytics.com http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com https://login.vk.com http://login.vk.com http://www.google-analytics.com https://www.google-analytics.com http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://st.top100.ru https://st.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.odnoklassniki.ru https://www.odnoklassniki.ru http://www.reddit.com https://www.reddit.com https://www.linkedin.com http://www.linkedin.com http://injections.adguard.com https://injections.adguard.com http://counter.rambler.ru https://counter.rambler.ru ; style-src 'self' 'unsafe-inline' http://*.googleapis.com https://*.googleapis.com http://*.gstatic.com https://*.gstatic.com; img-src 'self' data: http://*.yadro.ru https://vk.com http://vk.com http://top-fwz1.mail.ru http://www.google-analytics.com https://www.google-analytics.com https://*.doubleclick.net http://*.doubleclick.net https://*.facebook.com http://*.facebook.com http://counter.rambler.ru https://counter.rambler.ru http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.addthis.com https://*.addthis.com http://*.gstatic.com https://*.gstatic.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://*.googleapis.com https://*.googleapis.com http://www.adobe.com https://www.adobe.com http://m.addthisedge.com https://m.addthisedge.com https://apis.google.com http://apis.google.com ; font-src 'self' http://fonts.gstatic.com https://fonts.gstatic.com ; media-src 'self'; frame-src 'self' http://vk.com https://vk.com http://login.vk.com https://login.vk.com http://*.facebook.com https://*.facebook.com https://*.ok.ru http://*.ok.ru http://*.addthis.com https://*.addthis.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.youtube.com https://www.youtube.com ; connect-src 'self' http://www.google-analytics.com https://www.google-analytics.com http://*.addthis.com https://*.addthis.com https://m.addthisedge.com http://m.addthisedge.com ; report-uri  https://report-uri.io/report/902149f45b2c02508d9587ab45c98de3  ;",
        "blocked-uri": "asset",
        "status-code": 200
    }
}

И правильно ли я понимаю, что с: mxjscall://, webviewprogressproxy://, res://, mx://, safari-resource://, chromenull://, chromeinvoke://, chromeinvokeimmediate://, mbinit://, opera://, localhost, 127.0.0.1, resource:// - ничего нельзя сделать?

В отчетах много connect-src https://localhost от браузеров safari

Подскажите, пожалуйста, как с этим бороться?

Пример asset

  "csp-report": {

        "document-uri": "http://ohotnik-kolomna.ru/oruzie/product_travm/PB-4-2.html",

        "referrer": "",

        "violated-directive": "script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com https://login.vk.com http://login.vk.com http://www.google-analytics.com https://www.google-analytics.com http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://st.top100.ru https://st.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.odnoklassniki.ru https://www.odnoklassniki.ru http://www.reddit.com https://www.reddit.com https://www.linkedin.com http://www.linkedin.com ",

        "original-policy": "default-src 'self' http://ohotnik-kolomna.ru ; script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com https://login.vk.com http://login.vk.com http://www.google-analytics.com https://www.google-analytics.com http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://st.top100.ru https://st.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.odnoklassniki.ru https://www.odnoklassniki.ru http://www.reddit.com https://www.reddit.com https://www.linkedin.com http://www.linkedin.com ; style-src 'self' 'unsafe-inline' http://*.googleapis.com https://*.googleapis.com http://*.gstatic.com https://*.gstatic.com; img-src 'self' data: http://*.yadro.ru http://vk.com http://top-fwz1.mail.ru http://www.google-analytics.com https://www.google-analytics.com https://*.doubleclick.net http://*.doubleclick.net https://*.facebook.com http://*.facebook.com http://counter.rambler.ru https://counter.rambler.ru http://top-fwz1.mail.ru https://top-fwz1.mail.ru http://*.addthis.com https://*.addthis.com http://*.gstatic.com https://*.gstatic.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://*.googleapis.com https://*.googleapis.com http://www.adobe.com https://www.adobe.com ; font-src 'self' http://fonts.gstatic.com https://fonts.gstatic.com ; media-src 'self'; frame-src 'self' http://vk.com https://vk.com http://login.vk.com https://login.vk.com http://*.facebook.com https://*.facebook.com https://*.ok.ru http://*.ok.ru http://*.addthis.com https://*.addthis.com https://*.google.com http://*.google.com https://*.pinterest.com http://*.pinterest.com http://*.twitter.com https://*.twitter.com http://www.youtube.com https://www.youtube.com ; connect-src 'self' http://www.google-analytics.com https://www.google-analytics.com http://*.addthis.com https://*.addthis.com ; report-uri https://report-uri.io/report/902149f45b2c02508d9587ab45c98de3/reportOnly ;",

        "blocked-uri": "asset",

        "source-file": "http://ohotnik-kolomna.ru/oruzie/product_travm/PB-4-2.html",

        "line-number": 1,

        "column-number": 217,

        "status-code": 200

    }

}

В отчетах в Blocked URI проскакивают просто data, asset для script-src что это такое?

Для чего они могут внедряться в script-src http:// www. cccb. ru, не нашел у них плагина никакого

korfiati, Ну и хорошо, эту гадость надо отсеивать

Вот интересно это что? Кто-нибудь знает?:

tb.beeline.ru

adguard.com

https://m.addthisedge.com

И еще вопрос по поводу сервисов Яндекса, надо ли их вносить, если у меня на сайте нет ни рекламы, ни яндекс.метрики?

mc.yandex.ru (метрика) и https://dl.metabar.ru (советник)

Ladycharm, я бы Вас расцеловал, огромное Вам спасибо за столь подробные ответы.:)

Чем больше узнаешь, тем больше вопросов у тебя возникает:

1. Я так понял, что надо закрывать все те сайты сборы статистики, которые не используешь?

Рекламы на сайте никакой нет, следовательно можно закрыть все рекламные сборщики статистики? Хотя яндексу, наверное, стоит открыть?

2. Если правильно понял, вместо self лучше прописать имясайта или требуются более изощренные методы (типа указания портов)?

3. Можно ли как-то дать понять браузеру, что я обновил CSP, а то в FF показывается старая политика?

4. CSP не мешает работе роботам ПС, если она неправильно настроена?

5. Надо ли использовать вместе с Content-Security-Policy использовать X-Content-Security-Policy и X-WebKit-CSP?

Почитал про unsafe-inline. Раньше даже не подозревал, какая это зараза - инлайн скрипты.

Ladycharm, можно Вам, как эксперту, задать несколько вопросов:

1. yadro.ru, doubleclick.net, - добавить или не надо?

2. self означает имясайта, то есть заменяет название домена и его можно не писать, или же надо писать имясайта в каждом правиле?

3. надо ли писать *.имясайта, если у меня нет поддоменов или это включает www?

3.1 *. google-analytics. com включает www. google-analytics. com и как лучше прописывать?

4. всегда надо добавлять https, если в Хроме показывает http и наоборот?

5. Вы писали, что для десктопа и мобайл необходимо прописывать разные правила как это можно сделать, и актуально ли это сегодня?

6. На сайте report-uri. io в разделе анализа у многих позици выводит, пример: http://*. googleapis. com (consider removing the wildcard). Что это означает?

7. Может быть не в тему, но интересно тоже вот это сообщение 'webkitMovementX' is deprecated. Please use 'movementX' instead.

Ниже прикладываю код, который получился, альфа-версия. На сайте нет рекламы, только Addthis, счетчики LI, mail, rambler, google analitics, и группы vk, ok, fb, g+. Сайт: http://ohotnik-kolomna.ru

<ifModule mod_headers.c>

Header set Content-Security-Policy-Report-Only: 
"default-src 'self' http://ohotnik-kolomna.ru ; 

script-src 'self' 'unsafe-inline' 'unsafe-eval' http://*.googleapis.com https://*.googleapis.com http://vk.com https://vk.com http://*.google-analytics.com https://*.google-analytics.com http://*.mail.ru https://*.mail.ru http://*.facebook.net https://*.facebook.net http://*.facebook.com https://*.facebook.com http://*.addthis.com https://*.addthis.com http://*.ok.ru https://*.ok.ru http://*.top100.ru https://*.top100.ru http://*.delicious.com https://*.delicious.com https://*.google.com http://*.google.com ; style-src 'self' 'unsafe-inline' ; 

img-src 'self' data: http://*.yadro.ru http://vk.com http://*.mail.ru http://*.google-analytics.com https://*.google-analytics.com https://*.doubleclick.net http://*.doubleclick.net https://*.facebook.com http://*.facebook.com http://*.rambler.ru https://counter.rambler.ru http://*.mail.ru https://*.mail.ru http://*.addthis.com https://*.addthis.com ; 

font-src 'self'; media-src 'self'; frame-src 'self' http://vk.com https://vk.com http://*.facebook.com https://*.facebook.com https://*.ok.ru http://*.ok.ru http://*.addthis.com https://*.addthis.com https://*.google.com http://*.google.com ; 

report-uri https://report-uri.io/report/902149f45b2c02508d9587ab45c98de3/reportOnly ; "

</IfModule>

Буду рад критике.

P.S.

Проверил на старой Мозиле с Firebug

Еще просятся

http://metrext.com,  http://dmp.adriverssp.com, http://mc.yandex.ru, http://b.mxpnl.net/,  https://cr-input.mxpnl.net

Что с ними делать?

Администрации. На что надо обратить внимание?

Например: Можно ли отслеживать статистику?

Баннер наверное сейчас не актуальны, у всех стоит AdBlock, ссылку, наверно, лучше купить без нофоллоу?

Мне кажется проще иметь тему в форуме