В идеале конечно лучше бы получать в отчете такие данные:
- в какой секции заблокировано (скрипт, фрейм, картинка и т.д.)
- на какой странице заблокировано
- какой сайт заблокирован
Один УРЛ особо ни о чем не скажет, а пихать его во все секции если блокируется ошибочно - не верное решение.
А в обычном отчете тоже не очень удобно видеть каждый раз оригинальную политику CSP - она большая и файл довольно разрастается, смотреть не удобно.
У искал как это получше оформить - нашел вариант на гитхабе - оформляется в виде таблице, но хранится все в БД и нужно настроить сервер специальным образом, а на виртуальном хостинге например такое не сделать.
Большое спасибо! А то не будучи программистом сложно разобраться без примеров)
А список в каком формате писать? Через запятую или пробел? Приведите пожалуйста конкретный пример в адресами, например так:
$mas[]=Array(site.com site.com);
или так:
$mas[]=Array(site.com, site.com);
И если на поддоменах, то их отдельно прописывать или по маске *.site.com?
ctit, эти файлы нужно самому создавать? Никаких отчетов не появляется... Права на папку 777 выставил.
PS: разобрался, сделал ошибку) Исправил и все работает, спасибо
В первом посте есть пример, но я не понял чем заменить путь (относительный или полный):
и в какой файл будет сохраняться отчет, в -csp-report.txt?
Поделитесь, пожалуйста, примером :)
Я знаю что это карты, но не пользовался. Значит пусть остается под запретом и дальше.
Полезная штука, этот CSP, вчера глаза на лоб полезли, когда около 1000 писем пришло на почту с отчетами, столько всякого мусора вирусного у людей в браузерах установлено, что просто диву даешься. Неужели им так нравится вся эта реклама. Естественно все это на развлекательном сайте, на остальных практически нет подобного.
Осталось решить вопрос с метрикой, почему она так себя ведет при включенном CSP...
В отчете такое заблокировано:
2gis имеет какое-то отношение к Яндексу или нет? Почему источником является an.yandex.ru? Это же код РСЯ?
Такой вопрос возник потому, что после того как настроил CSP счетчик яндекс метрики периодически зависает - кнопка статуса желтой становится и подсказка: код счетчика не установлен, но данные поступают. При обновлении сразу становится зеленым. По отчету CSP больше никаких сайтов связанных с Яндексом не блокирует. Консоль тоже ошибок не выдает.
Счетчик замирает только на сайтах где РСЯ стоит, на остальных с CSP счетчик нормально работает.
Код метрики и директа периодически меняются/дополняются - каким образом будете отслеживать изменения, если на своем сервере окажется древняя версия?
Эти параметры у меня есть, однако переходов на гобонгу и прочую ересь сегодня не было ни единого 🙅
Если отключить inline и eval то не будут работать ни метрика, ни директ. Вынос их скриптов в файл к себе на сервер ничего хорошего не сулит и возможно будет считаться нарушением, за что могут исключить из РСЯ, к примеру.
Да и Директ тоже его использует. Получается что если eval будет разрешен, то скрипт не поможет от того же Magic Player с гобонгой?
