ошибаетесь, Вам тупо провайдер может подменить контент даже если сайт на https, открою еще секрет помимо подмены можно провести еще и MiTM атаку - по сути это одно и тоже
Провайдер редирект может сделать, но не подменить контент, это разные вещи. https как раз и сделан, чтобы исключить атаки типа "человек посередине".
Вы реально думаете, что перейдя на https полностью защищены? Яркий пример (если пользовались Алиэкспресс) - ставите в браузер какое-то приложение, типа этого которое вытягивает историю по ценам и т.д. и к товару от этого расширения на странице появляются дополнительные кнопки и т.д.
Если речь идёт о подмене контента на стороне клиента (через браузер), то нет никакой разницы как загружен контент, тут я с вами согласен. Но если подмена контента идёт "на пути" к клиенту, то через https это сделать почти невозможно. Например, при посещении http сайтов через wifi в кафе или ещё где-то, вполне может висеть какой-нибудь баннер или типа того, который встроили в код сайта "по дороге" к клиенту.
🤣 Вы явно не в теме. Приведу пример, чтобы не было иллюзий
у Вас в коде есть инлайн или скрипт файлом скажем:
или
без указания в CSP домена, то есть разрешения на исполнения скриптов на Вашем сайте, его могут подменить. А если в CSP еще добавить nonce:
то скрипт не выполниться вообще, даже если домен разрешен, но для этого скрипта не сгенерирован nonce и наличие https тут вообще не играет ни какой роли. nonce можно добавить и к стилям...
И как же подменят контент, если соединение по https?
не думал, что все так плохо :(
https://developer.mozilla.org/ru/docs/Web/HTTP/CSP
единственное, есть проблема, если на сайте крутиться реклама адсенса надо вылавливать все его домены, а их немеряно. Если РСЯ, то у яндекса есть готовый список:
для метрики
для РСЯ
Какой смысл в CSP если есть https?
Могут ли платные подписки мобильных операторов (как из рекламы в Адсенс) быть вызваны пуш-подписками? На днях словил фильтр за мобильные подписки, Адсенс с сайта убрал, но в тех поддержке Яндекса сказали что проблема ещё не устранена. На сайте остался только код РСЯ и отдельный файл js-воркер Offergate (в коде сайта js-кода Offergate нет, работает рассылка только по ранее подписанным пользователям). Всё равно говорят, что проблема осталась, я уже не знаю из-за чего это может быть.
У меня тот же вопрос про то, какой домен указывать. Я не против открыть данные, но я физ. лицо, что в таком случае писать в названии компании? Своё ФИО?
Вот 2 скрипта:
unblock.php разблокирует всех рекламодателей в списке заблокированных.
remove.php удалит этих рекламодателей из списка заблокированных. Зачем это нужно? Я не знаю почему, но даже если у вас список рекламодателей пустой, Adsense всё равно хранит список ваших решений по блокировке/разблокировке аккаунтов. Например, у меня было ~15000 заблоченных аккаунтов и при открытии этот список сильно тормозил, после разблокировки рекламодателей список также тормозил, несмотря на то, что был пустой. Открыв консоль Chrome, я увидел что решения по блокировкам никуда не делись, а также приходят в ответе. В общем, решайте сами нужно вам это или нет, в своём аккаунте эти решения я удалил.
Для запуска скрипта, в начале каждого файла вам необходимо заполнить конфиг.
$config = array( 'pubId' => 'ca-pub-XXX', 'frameworkXsrfToken' => '', 'cookie' => '',);
pubId - вместо ХХХ впишите номер вашего аккаунта (можете посмотреть в адресной строке браузера)
frameworkXsrfToken и cookie- откройте ЛК Adsense в Chrome, затем откройте консоль Chrome (CTRL+SHITF+I на Винде или CMD+OPTION+J на Маке), в консоли передите на вкладку Network. После этого перейдите в центр просмотра объявлений и нажмите на "Просмотреть заблокированные аккаунты Google Рекламы". В консоли Chrome в списке соединений найдите строку со ссылкой содержащей "GetAdWordsAdvertiserDecisions" и кликните по ней. На вкладке Headers в разделе Request Headers вы найдёте значение параметра x-framework-xsrf-token и cookie, просто скопируйте их в массив $config.
После заполнения конфига, запускайте скрипты из консоли.
Разблочил акки с помощью самописа, если интересно, могу завтра поделиться решением.
Да, поддерживаю, такая опция была бы полезной
