ctit ctit

Рейтинг
243
Регистрация
07.05.2010
Настройка CSP - Content Security Policy
big boy:

imrk.net
cookie.whisla.com
alltereg0.ru
x.bidswitch.net
adhigh.net
luxup.ru

В свое время whisla.com, imrk.net у меня был в списках

luxup.ru- рекламная сеть, есть даже в adsense, но как я понял, их реклама тоже появляется в зараженных браузерах.

Что касается imrk.net. Если вы посмотрите переписку в этой ветке, то пришли к выводу, что это не есть good, хотя у меня вместо нее всегда белый экран, т.е. это все таки рекламная сеть. Используется в soloway, pingmedia.

png imkrnet.png
Яндекс отвечает размыто

Что-то мне подсказывает в связи с дизайном у вас ПФ не уложились в рамки приличия. Можете сайт показать?

Настройка CSP - Content Security Policy

Uncaught SecurityError: Failed to read the 'contentDocument' property from 'HTMLIFrameElement': Sandbox access violation: Blocked a frame at "http://googleads.g.doubleclick.net" from accessing a frame at "null". The frame being accessed is sandboxed and lacks the "allow-same-origin" flag.

Опять стали вылазить, причем реклама от adsense отображается. Кто-то разобрался с этим?

Настройка CSP - Content Security Policy
big boy:
На будущее всем: в репортах могут отображаться не все блокировки, иногда надо смотреть вручную. Для этого в Firefox есть расширение Firebug > жмём F12 > Консоль > там будут ошибки вида:

А я пришел к выводу, что лучший дебагер это Chrom. Там вообще все тонкости указываются. Но Firebug тоже поначалу пользовался, хорошая вещь.

big boy:

И вопрос. Нужно ли дублировать адреса c http и без? https понятно, что надо, а такая запись:

На всякий случай для всех доменов прописал https.

Сейчас Яндекс вроде уже начинает реагировать на подмену рекламы. Хотя по последним данным, это был баг.

Настройка CSP - Content Security Policy
big boy:
Почему-то после настройки csp видео с тытрубы через <iframe><embed> работает, а через <object> не хочет. Настройки для youtube у object-src и frame-src совпадают.

Тогда почему один метод пашет, а другой нет?

В репортах пусто.

Аналогично. Поэтому пришлось в срочном порядке все видео переоформлять под <iframe>.

Настройка CSP - Content Security Policy
Ladycharm:
chromenull: - это какой-то расширение Хрому заблочено. Я смотрю по этому же IP и ЮзерАгенту что ещё было в это же время. Там обычно есть что-либо вроде chrome-extension://nhgcieglcpdegkhamigiokdphfhhnlhh, где nhgcieglcpdegkhamigiokdphfhhnlhh - уникальный ID расширения. Проверяю этот ID поиском по Хроме Вебсторе - если там такого нет - расширение нелегальное, фтоппку его.

Скорее всего, это аналог null для FireFox (about:blank), запрос, посылаемый скриптами jquery для проверки связи (используют рекламные сети). Разбирался долго, но вроде это так.

Ladycharm:

blocked-uri data - смотрите по полю "violated directive" в какой директиве вызвана блокировка

Здесь речь идет по чистом "data" без всего, я так понял, что это данные скриптов (типа {data}), поскольку остальные указываются явно "data:text", а этот тип именно так: blocked-uri "data".

Настройка CSP - Content Security Policy
Redslon:
Подскажите пожалуйста, где закралась ошибка.
Начал настраивать CSP.
В отчетах выскакивает отчет по доменам c1n1.hypercomments.com, c1n2.hypercomments.com, c1n3.hypercomments.com 


script-src http://*.hypercomments.com

style-src http://*.hypercomments.com

img-src http://*.hypercomments.com

frame-src http://*.hypercomments.com

connect-src http://*.hypercomments.com ws://*.hypercomments.com
Яндекс уже совсем того?
RA2:
Начал наблюдать такое:Никаких вирусов у меня нет, запросы разные!Яндекс совсем уже? или типа такой способ внедрить свой браузер (софт) ?

У вас, видимо, стоит какое-то расширение (не вирус), которое подменяет (официально) рекламу. Яндексу это не выгодно, вот он и стал предупреждение выдавать.

Настройка CSP - Content Security Policy
Saacy:
Уверяю вас, что чистый PHP код вставить туда можно. Если вы так уверены в stripslashes и json_encode, не буду переубеждать. Просто обратите внимание на USER_AGENT. Он никак не фильтруется и пишется целиком.

Вроде suhosin все это чистит, так что не должно быть проблем.

Настройка CSP - Content Security Policy
Sla:
с адсенсом (точнее у меня adx, но думаю в адсенсе так-же) есть такая проблема:
в отчетах CSP вижу adtarget.me - думаю вирусня какая-то, не обращаю внимание
а как-то раз смотрю блок адсенса пустой загрузился - глянул что там, а там именно с этого сайта adtarget.me подгружается скрипт и соответственно из-за CSP не показывается

При чем подгружается гуглем в фрейме без src. То есть на него действуют правила CSP.

И так со многими другими сетями. Я панику в своем время поднимал именно из-за пустых блоков. Однако здесь видимо дело в другом.

---------- Добавлено 20.02.2015 в 17:12 ----------

Saacy:
В чём же фигня? В этой теме публиковали скрипты csp.php. В них есть серьёзная уязвимость и я об этом предупредил пользователей. На мой взгляд это довольно важно и я выделил красным.

Да, Ladycharm, весь ваш сайт можно удалить, если вы загрузите себе один из примеров csp.php из этой темы.

Это из-за того, что кто-то выставил права 777 на папку? Разумеется, это делать не надо. Или еще что-то есть?

1... 717273747576777879 ...128
Всего: 1276