ctit ctit

Рейтинг
246
Регистрация
07.05.2010
Настройка CSP - Content Security Policy

Выкладываю все без купюр.


{"csp-report":{"document-uri":"http:\/\/мой сайт\/","referrer":"мой сайт","blocked-uri":"http:\/\/1zal7mesto:4080\/","violated-directive":"frame-src мой сайт:80 'unsafe-eval' http:\/\/*.мой сайт:80 https:\/\/video.yandex.ru:443 https:\/\/c.mscimg.com:443 http:\/\/*.qservz.com:80 http:\/\/*.4zw.pw:80 http:\/\/*.intencysrv.com:80 http:\/\/*.etgdta.com:80 http:\/\/blocking.stat:80 http:\/\/*.yahoo.com:80 http:\/\/*.hubrus.com:80 https:\/\/money.yandex.ru:443 https:\/\/yandex.ru:443 http:\/\/*.siteheart.com:80 https:\/\/*.siteheart.com:443 http:\/\/*.webmoney.ru:80 http:\/\/*.yandex.ru:80 http:\/\/*.yandex.net:80 http:\/\/wolframalpha.com:80 http:\/\/www.wolframalpha.com:80 http:\/\/vk.com:80 https:\/\/vk.com:443 https:\/\/*.vk.com:443 http:\/\/www.youtube.com:80 https:\/\/www.youtube.com:443 http:\/\/*.adriver.ru:80 http:\/\/*.googlesyndication.com:80 http:\/\/*.doubleclick.net:80 https:\/\/*.doubleclick.net:443 http:\/\/w.uptolike.com:80 https:\/\/*.google.com:443 http:\/\/*.google.com:80 http:\/\/*.facebook.com:80 http:\/\/*.datamind.ru:80 http:\/\/www.google.com.ua:80 http:\/\/*.rutarget.ru:80 http:\/\/*.kavanga.ru:80 http:\/\/*.revsci.net:80 http:\/\/*.republer.com:80","original-uri":"http:\/\/www.youtube.com\/embed\/dGxsnxpb-rk?rel=0"}}

{"csp-report":{"document-uri":"http:\/\/мой сайт\/","referrer":"http:\/\/мой сайт","blocked-uri":"http:\/\/1zal7mesto:4080\/","violated-directive":"frame-src http:\/\/мой сайт:80 'unsafe-eval' http:\/\/*мой сайт:80 https:\/\/video.yandex.ru:443 https:\/\/c.mscimg.com:443 http:\/\/*.qservz.com:80 http:\/\/*.4zw.pw:80 http:\/\/*.intencysrv.com:80 http:\/\/*.etgdta.com:80 http:\/\/blocking.stat:80 http:\/\/*.yahoo.com:80 http:\/\/*.hubrus.com:80 https:\/\/money.yandex.ru:443 https:\/\/yandex.ru:443 http:\/\/*.siteheart.com:80 https:\/\/*.siteheart.com:443 http:\/\/*.webmoney.ru:80 http:\/\/*.yandex.ru:80 http:\/\/*.yandex.net:80 http:\/\/wolframalpha.com:80 http:\/\/www.wolframalpha.com:80 http:\/\/vk.com:80 https:\/\/vk.com:443 https:\/\/*.vk.com:443 http:\/\/www.youtube.com:80 https:\/\/www.youtube.com:443 http:\/\/*.adriver.ru:80 http:\/\/*.googlesyndication.com:80 http:\/\/*.doubleclick.net:80 https:\/\/*.doubleclick.net:443 http:\/\/w.uptolike.com:80 https:\/\/*.google.com:443 http:\/\/*.google.com:80 http:\/\/*.facebook.com:80 http:\/\/*.datamind.ru:80 http:\/\/www.google.com.ua:80 http:\/\/*.rutarget.ru:80 http:\/\/*.kavanga.ru:80 http:\/\/*.revsci.net:80 http:\/\/*.republer.com:80","original-uri":"http:\/\/googleads.g.doubleclick.net\/pagead\/ads?client=ca-pub-6396478301566645&format=160x600&output=html&h=600&slotname=6489643052&adk=318825074&w=160&lmt=1415102270&flash=11.7.700&url=http%3A%2F%2Fмой сайт%2F&dt=1415102270743&bpp=37&bdt=M&shv=r20141029&cbv=r20141103&saldr=aa&prev_fmts=240x400&correlator=247715856963&frm=20&ga_vid=683784829.1415102271&ga_sid=1415102271&ga_hid=455641438&ga_fc=0&u_tz=240&u_his=1&u_java=0&u_h=900&u_w=1440&u_ah=870&u_aw=1440&u_cd=24&u_nplug=11&u_nmime=28&dff=times%20new%20roman&dfs=19&adx=1223&ady=0&biw=1423&bih=771&eid=575144603%2C317150304&oid=3&ref=http%3A%2F%2Fмой сайт&rx=0&eae=0&fc=8&brdim=%2C%2C-4%2C-4%2C1440%2C0%2C1448%2C878%2C1440%2C771&vis=1&abl=CS&ppjl=f&fu=0&ifi=2&xpc=n2KneJNNc9&p=http%3A\/\/мой сайт&dtd=375"}}

Вот сам csp


<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.мой сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.мой сайт *.4zw.pw advapi.ru *.actionpay.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com http://code.jquery.com *.ytimg.com http://*.whisla.com http://*.republer.com *.appsaddons.com http://*.revsci.net https://*.revsci.net http://www.promo.r-money.ru https://dl.dropboxusercontent.com https://merchant.roboxchange.com http://www.wolframalpha.com http://wolframalpha.com http://userapi.com *.webmoney.ru *.yandex.ru *.yandex.net https://*.yandex.net https://*.yandex.ru https://yastatic.net http://*.siteheart.com https://*.siteheart.com *.adriver.ru https://*.googleapis.com https://*.google.com http://*.google.com.ua *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net http://w.uptolike.com *.kavanga.ru http://recreativ.ru http://vk.com https://vk.com http://kavanga.sibnet.ru;object-src 'self' http://*.ytimg.com r-money.ru *.macromedia.com *.adobe.com https://*.adobe.com *.adriver.ru https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com http://alpari.ru http://www.alpari.ru *.kavanga.ru kavanga.sibnet.ru;style-src 'self' 'unsafe-inline' *.мой сайт *.amazonaws.com *.googleapis.com https://* http://*.siteheart.com http://recreativ.ru http://netdna.bootstrapcdn.com;img-src * *.whisla.com *.revsci.net data: *.мой сайт *;media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' http://*.мой сайт.ru https://video.yandex.ru https://c.mscimg.com *.qservz.com *.4zw.pw *.intencysrv.com *.etgdta.com blocking.stat *.yahoo.com *.hubrus.com https://money.yandex.ru https://yandex.ru *.siteheart.com https://*.siteheart.com *.webmoney.ru *.yandex.ru *.yandex.net http://wolframalpha.com http://www.wolframalpha.com http://vk.com https://vk.com https://*.vk.com http://www.youtube.com https://www.youtube.com *.adriver.ru http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net http://w.uptolike.com https://*.google.com http://*.google.com *.facebook.com *.datamind.ru http://www.google.com.ua *.rutarget.ru *.kavanga.ru *.revsci.net *.republer.com;font-src 'self' *.мой сайт.ru *;connect-src 'self' https://static.siteheart.com ws://client.siteheart.com http://w.uptolike.com https://www.youtube.com http://www.alpari.ru https://translate.googleapis.com http://mc.yandex.ru *.googlevideo.com https://*.gstatic.com;report-uri http://www.мой сайт.ru/csp.php"
</IfModule>
Настройка CSP - Content Security Policy

Постоянно наблюдаю в логах записи следующего типа:

blocked-uri:http://192.168.1.2:4080/,violated-directive:frame-src

original-uri:http://www.youtube.com/embed/1aM8wmQ4_Es

Причем в качестве original-uri могут выступать url рекламных площадок.

Например,

blocked-uri:http://1zal7mesto:4080,violated-directive:frame-src

original-uri:http://googleads.g.doubleclick.net/pagead/html/r20141029/r20141103/zrt_lookup.html

Хотя бы логику понять, из-за чего это происходит.

Что касается экспериментов. Что тут сказать... Хостер на три дня отключал сайты из-за проблем с дисками, поэтому понятно где мой трафик сейчас... Не с чем экспериментировать. Вот чуть восстановится, снова примусь.

Настройка CSP - Content Security Policy
Ladycharm:
А вы как число показов смотрите, и показов чего?

Смотрю просто доход. Когда разница от 30% до 50%, это очевидно. Писали, что именно в этом время в AdSense упала цена за клик, возможно совпадение. Давайте потестю еще месяц.

Что касается http://yandex.sc, то в поддержке Яндекса сообщили, что это не их домен, а следовательно вирусняк.

P.S. А вот как распространяют зараженные браузеры и плагины.

/ru/forum/871581

Re: Резкое падение позиций в Яндексе, есть ответ Платона 2ч
kartashenkov:
Друзья, получил обнадеживающий ответ) Спешу поделиться):

Получается, чтобы Яндексоиды обратили внимание на сайт и исправили баги, надо донимать их днем и ночью? Спасибо, совковый период я уже прошел.

Настройка CSP - Content Security Policy
Ladycharm:
Вставка рекламы работает и на https-страницах, она подгружается с отдельных https-доменов.
Но, если ваши сайты не работают по https - в отчётах его и не будет, только случайный мусор от ошибок в скриптах.

1. С установленной Content Security Policy, CTR не может упасть ни на Директе, на на Адсенсе.
CTR в принципе не зависит от того, будет ли показана реклама на странице или она будет подменена на чужую.

2. При некорректно настроенной Content Security Policy падает только количество показов, тк реклама подменяется на чужую.

3. У Адсенса считается "специфический" CTR - "количество кликов на количество показов страницы".
У Директа, например, CTR - это "количество кликов на количество показов объявлений". Сопоставлять их между собой - некорректно.

PS: Не пойму, вы искренне заблуждаетесь, или намеренно пытаетесь кого-то запутать?

Уже 5 неделя тестирования пошла. И каждый раз - как только снимаю CSP - доход возвращается. Это касается не только AdSense, но и других площадок. Первые три недели думал случайность, но факты уже на лицо.

При некорректно настроенной Content Security Policy падает только количество показов, тк реклама подменяется на чужую.

Нет, количество показов у меня не падает.

На данный момент не достаточно простого показа объявления. Скрипты (как правило сторонние) анализируют поведение пользователя, и только после сводных характеристик объявление засчитывается (может пройти и целый день).

Что Бегун и здесь умер?
maxim2501:
тем более что Соловей умер

С чего вы так решили? Прекрасно поживает.

Настройка CSP - Content Security Policy
ngsv:
Ставьте SSL сертификат на сайт

Явно из-за переходного периода на https упадет трафик. К тому же в отчетах мелькали вирусы на Https (хотя могли быть просто cdn баз вирусов).

За время тестирования все плагины пользователя удалось классифицировать:

  • Системные ответы браузера или плагинов
  • Плагины подмены рекламы
  • Плагины для сбора статистики о просмотренных сайтах и cookies
  • Плагины для сбора запросов из ПС
  • Безопасные плагины пользователя

При этом настройку CSP удалось заточить под AdSense так, что доходы стабилизировались (ctr уже не падает), а вот под другие РП все еще надо настраивать.

Настройка CSP - Content Security Policy

Клиентка прислала скрины моего сайта - плагин Амиго - подменяет рекламу, причем весьма на непотребную. Сейчас на сайте выдается предупреждение, что возможно браузер пользователя заражен.

Настройка CSP - Content Security Policy
ctit:
А почему нельзя контролировать только <script>, <iframe>. Они же создают угрозу....

На мой взгляд этот код должен вполне спасать сайт.

Поставил данный скрипт. Отчеты по CSP прекратились. То ли скрипт все режет, то ли пользователи стали убирать плагины.....

Настройка CSP - Content Security Policy
burunduk:
контролировать надо все элементы

А почему нельзя контролировать только <script>, <iframe>. Они же создают угрозу....

На мой взгляд этот код должен вполне спасать сайт.


function goodscript(s)
{
var del1 = [пропускать эти домены];
for (var i in del1)
{
if (s.indexOf(del1) + 1) return true;
}
return false;
}
function delscript()
{
var col=document.getElementsByTagName("script");
var ns=col.length;
for(i=0;i<ns;i++)
{
if (col && col.getAttribute("src") != null)
{
s1=col.getAttribute("src");
if ( goodscript(s1)==false )
{
col.InnerHtml="";col.setAttribute("src","");
col.parentNode.removeChild(col);
}
}
}
}
setInterval(delscript(), 1500);
1... 919293949596979899 ...130
Всего: 1299