Зачем убирать CSP? Какое-то странное желание всеми силами избавиться от того, что хоть как-то защищает от этой гадости. Как-то сложно это понять...
Посмотрел у себя статистику AdSense. Всё отлично. Т.е. ничего там отличного нет, доход падает, но это связано с падением бида, а не с падением показов или CTR. CTR, кстати, после установки CSP вырос. Ненамного, но вырос. Это вполне логично, так как левая реклама перестала показываться. Всё время мониторю на сайте показы AdSense. Не было ни одного случая, чтобы реклама не показалась. Показывается реклама всех типов: текстовая, медийная и т.д.
Да, именно в этом коде. В нём три строчки:
<ifModule mod_headers.c> Header set Content-Security-Policy Header set X-Content-Security-Policy Header set X-WebKit-CSP </IfModule>
Нужно оставить только первую. Вторая и третья для всяких нестандартных браузеров, которыми в теории можно пренебречь. Все нормальные браузеры должны понимать стандартный заголовок CSP - первую сроку в нашем коде.
Посмотрел у себя. Также количество посетителей с Android Browser при включении CSP сокращается с 10% до 2%. Еще при включении CSP заметил сокращение посетителей на 6%. Всё это показывает как метрика, так и LI. Здесь немного описывается технология CSP. Яндекс пишет, что лучше оставить только строку
<ifModule mod_headers.c> Header set Content-Security-Policy </IfModule>
Я у себя оставил только первую строку, вторую и третью удалил. Посетители с Android Browser вернулись, падения трафика нет, всё в пределах обычного. Количество срезанных кликов гобонги и других вроде бы осталось прежним, т.е. работа CSP сильно хуже не стала. Попробуйте у себя также оставить только первую строку и посмотреть на результаты.
Refused to load the image 'http://yastatic.net/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico' because it violates the following Content Security Policy directive: "img-src https: data:".
А у вас убран в коде https? В вашем примере img-src https: data:
Это показывает, что все картинки будут грузиться с https, а у вас http://yastatic.net
Поэтому код такой: img-src 'self' data: yastatic.net
Должно всё работать...
Может у пингмедии стата подвисла? У меня код 240х400 показывается, но за вчера доход еще не подсчитан и показов на треть меньше. За сегодня вообще ничего нет. По метрике переходы есть. Консоль ошибок не показывает, реклама показывается. Может, действительно, что-то там внутри кода у пингмедии режется.... Какие адреса в этом коде у пингмедии есть? Можно в личку...
За сутки результат по CSP не очень хороший, вечером набежало много кликов. Суммарно число кликов на левые сайты около 1/3 от обычного числа. Чуть больше 2/3 кликов срезано. Чтобы результат был лучше, нужно запрещать инлайновые скрипты, но лично мне это пока не подходит - нужно будет переделывать весь сайт.
promosite, для юлы в соответствующие секции нужно вставить следующее:
script-src 'self' go.youlamedia.com
img-src 'self' data: go.youlamedia.com
Для директа, к сожалению, не знаю.
Для youtube вроде бы так, сам не проверял: frame-src 'self' www.youtube.com
Как не странно, у меня работает именно в этом варианте :) По крайней мере, вконтакт работает, новость на странице появляется. Правда сейчас выскочила ошибка из-за виджета вконтакте, которой вчера не было. Поэтому если используете виджеты, код нужно немного переделать.
В любом случае, если у кого-то что-то не работает, можно в хроме по f12 вызвать консоль и загрузить страницу. В консоли появятся все ошибки и какая секция в коде отвечает за эту ошибку. Поэтому правится всё очень легко. Можно это делать и в Мозиле.
Немного переработанный код от Plazik для .htaccess:
<ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' connect.mail.ru googleads.g.doubleclick.net vk.com; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' connect.mail.ru googleads.g.doubleclick.net vk.com ; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-WebKit-CSP "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' connect.mail.ru googleads.g.doubleclick.net vk.com ; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" </IfModule>
Показывается adsense, share.yandex.ru, метрика, ли, гугланалитика, виджеты вконтакте, кнопки класс и нравится от mail.ru
Код вызова adsense синхронный, стоит в теле самой страницы. Если раньше на gobongo было по li.ru порядка 300-400 переходов и порядка 200-300 переходов на screentoolkit.com, то сейчас на screentoolkit переходов нет, на gobongo 18 переходов проскользнуло. Еще были переходы на другие сайты в небольшом количестве, они тоже пока все режутся. Это где-то за 12 часов. Разница ощутимая. Правда на доходах adsense это никак не сказалось, там статистика живет своей жизнью.
Деймос, там еще нужно добавить в frame-src 'self' googleads.g.doubleclick.net;
Если не заработает, чуть позже скину код. У меня adsense показывается, вся другая гадость режется.
Вечером все позиции в гугле и мейле вернулись на свои места. На этот раз всё обошлось, следующего раза ждать не будем...
