Смотрите в Developer tools запрос и ответ.
Вряд ли вы найдете столь умный "сканер", ведь инициаторов загрузки чего-либо - множество. Это и код скриптов, и подключаемые стили внутри стилей, ... Лучше всего воспользоваться веб-инспектором браузера и посетить типовые страницы (их на сайте наверняка конечное число, к примеру, достаточно зайти в одну статью, нет смысла ходить по всем статьям) и помониторить ресурсы. После составления CSP "на глаз" уже смотрите на его предупреждения в том же инспекторе. Далее прикручивайте отладчик CSP, например https://report-uri.io/ и включаете CSP для всех пользователей, мониторьте, чего полезного запретилось уже у пользователей.
https://jsfiddle.net/48zrdcru/ всего-лишь набросок
Протокол Open Graph, по всей видимости.
4-го выплат не будет?
Настроить сервак труда не составит рядовому админу (поднять Nginx, настроить limit rate). По поводу "кражи" - это больше к движку вопросы. Не нужно светить прямыми ссылками на видео файлы, придумать способ их "шифрования", например (в одном проекте делал такую штуку: ссылки на mp4 действительны только "сегодняшние" и "вчерашние", а более старые отдают рекламный ролик. Забавно, многие воры до сих пор крутят мою рекламу). Из подводных камней самое очевидное - ширина канала. Опять же, возвращаясь к вышеупомянутому проекту, в пик суток канал 250 мбит забит полностью, есть мысли переходить на гигабит. Если же еще подключить Яндекс.Видео или раздавать embed'ы еще куда-то, то может стать нешуточной проблемой даже при настроенных лимитах. Вплоть до того, что придется "размазывать" контент по нескольким серверам. Опять же, все зависит от масштабности проекта.
Я использую XML-блоки. Если бы помимо редиректной ссылки отдавался бы еще непосредственный URL, куда попадет юзер при клике, я бы безопасность этих ссылок проверял своими силами (тем же SafeBrowsing) и просто пропускал эту рекламу. Но поддержка в этой возможности отказала.
Понятно, что ПП не выгодно отказываться от подписок, но, я считаю, нужно ввести возможность отключения рекламы, ведущую на эти самые подписки. Хоть и просядет доход. Банит Яндекс в мобильных сетях - нет ни подписок, ни посетителей. Так хоть останутся посетители.
Расскажите, ведется ли какая-то работа, чтобы у клиентов-вебмастеров не случалась подобная печалька? Заметил, что недавно сменились домены адресов тизеров (последние месяца три был i.trtla.space). И еще, может вам для дополнительной подстраховки пользоваться автоматическими средствами проверки страниц рекламодателей, типа https://tech.yandex.ru/safebrowsing/ ?
У imagemagick есть утилита montage, у которой, в свою очередь, есть трансформер "polaroid". Поигравшись с ним можно добиться чего-то подобного.
