Комментарии - globaltrading - Профиль вебмастера - Форум об интернет-маркетинге

30 мая 2016, 14:48

Ladycharm:
Плюс видео youtube и кнопки Ya.share есть на сайте(из того, что я ешё увидела).

Ваш заголовок для .htaccess CSP в режиме Report-Only:


<ifModule mod_headers.c>

Header set Content-Security-Policy-Report-Only "\

default-src 'self' chzda.ru *.chzda.ru;\

connect-src 'self' chzda.ru *.chzda.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com youtube.com https://youtube.com ytimg.com https://ytimg.com *.yandex.ru https://*.yandex.ru *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;\

font-src 'self' chzda.ru *.chzda.ru *.gstatic.com https://*.gstatic.com;\

frame-src 'self' chzda.ru *.chzda.ru *.google.com https://*.google.com yastatic.net https://yastatic.net youtube.com https://youtube.com ytimg.com https://ytimg.com *.yandex.ru https://*.yandex.ru *.youtube-nocookie.com https://*.youtube-nocookie.com *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;\

img-src 'self' chzda.ru *.chzda.ru data: *.google-analytics.com https://*.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com google-analytics.com https://google-analytics.com yandex.st https://yandex.st yastatic.net https://yastatic.net *.yandex.net https://*.yandex.net *.yandex.ru https://*.yandex.ru *.ytimg.com https://*.ytimg.com;\

object-src 'self' chzda.ru *.chzda.ru youtube.com https://youtube.com ytimg.com https://ytimg.com *.youtube.com https://*.youtube.com *.ytimg.com https://*.ytimg.com;\

script-src 'self' 'unsafe-eval' 'unsafe-inline' chzda.ru *.chzda.ru *.google-analytics.com https://*.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com google-analytics.com https://google-analytics.com yandex.st https://yandex.st yastatic.net https://yastatic.net *.yandex.ru https://*.yandex.ru;\

style-src 'self' 'unsafe-inline' chzda.ru *.chzda.ru *.googleapis.com https://*.googleapis.com *.gstatic.com https://*.gstatic.com *.yandex.ru https://*.yandex.ru;\

"

</IfModule>

После установки проверяете, что на сайте все работает(включая процедуру покупки/оплаты и т.д), в консоли браузер смотрите блокировки - нужные домены добавляете в CSP. Если все работает - убираете "-Report-Only" из заголовка - заголовок будет работать уже в "боевом" режиме.

Будут вопросы - см. сообщение 888

Server error!

The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there was an error in a CGI script.

If you think this is a server error, please contact the webmaster.

Error 500

Настройка CSP - Content Security Policy

20 мая 2016, 08:24

ИМ другой - http://chzda.ru/

из счетчиков стоит только яндексметрика и гугланатитикс.

Есть капча, подгрузка карт с яндекса и гугла, автоматические ответы серверов транспортных компаний и Почты России на запросы расчета стоимости доставки, SMS шлюз для уведомлений покупателей и автоматические почтовые уведомления.

---------- Добавлено 20.05.2016 в 13:24 ----------

Ladycharm:
Если я всё правильно поняла, то у вас на сайте используются счетчики liveinternet, mail, spylog, Google Analytics и Метрика, а также соц.кнопки от QIP и плагин Livetex.

Ваш CSP заголовок для .htaccess (вместо yoursite.ru поставите ваш домен без www):


<ifModule mod_headers.c>

Header set Content-Security-Policy-Report-Only "\

default-src 'self' yoursite.ru *.yoursite.ru;\

connect-src 'self' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.yandex.ru https://*.yandex.ru;\

font-src 'self' yoursite.ru *.yoursite.ru *.gstatic.com https://*.gstatic.com *.livetex.ru https://*.livetex.ru;\

frame-src 'self' yoursite.ru *.yoursite.ru *.yandex.ru https://*.yandex.ru;\

img-src 'self' yoursite.ru *.yoursite.ru data: *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.spylog.com https://*.spylog.com *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\

script-src 'self' 'unsafe-eval' 'unsafe-inline' yoursite.ru *.yoursite.ru *.google-analytics.com https://*.google-analytics.com google-analytics.com https://google-analytics.com *.livetex.ru https://*.livetex.ru *.mail.ru https://*.mail.ru *.qip.ru https://*.qip.ru *.yadro.ru https://*.yadro.ru *.yandex.ru https://*.yandex.ru;\

style-src 'self' 'unsafe-inline' yoursite.ru *.yoursite.ru;\

"

</IfModule>

Он в режиме Report-Only, полазите по сайт и если в консоли браузера ошибок нет - уберёте "-Report-Only".

ЛС у вас заработают только когда будет больше 10 сообщений. Будут вопросы - пишите на временный e-mail trashbin13@yandex.ru либо в этой ветке.

ИМ другой - http://chzda.ru/

из счетчиков стоит только яндексметрика и гугланатитикс.

Есть капча, подгрузка карт с яндекса и гугла, автоматические ответы серверов транспортных компаний и Почты России на запросы расчета стоимости доставки, SMS шлюз для уведомлений покупателей и автоматические почтовые уведомления.

Настройка CSP - Content Security Policy

17 мая 2016, 08:01

Ladycharm,

нужна Ваша помощь по настройке CSP для моего ИМ. Хотелось бы через ЛС

Вышел новый Яндекс Браузер с YandexGPT и YandexART

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта

globaltrading