По итогам дня CSP отлично блокировал паразитов, но...трафик упал на 10-15% в сравнении со средним по среде. Более половины потерь пришлось на Android Browser (хотя на своем Android смотрел, все норм). Отключил CSP, нечисть радостно кинулась на сайт, наверстывая упущенное. Черт знает, что делать, терпеть это го***нго или терять траф. Что то видимо мешает просмотру или доступности сайта в CSP в некоторых случаях (хотя на кроссбраузерность проверял).
Интересно, значит графику адсенс тащит из места, разрешенного кодом, и паразиты ее меняют на свои тизеры. Отключить что ли пока графические объявления...
Кстати, переходов сегодня практически нет (Content-Security-Policy работает) а вот посещаемость упала в сравнении со средой в среднем. На что думать уже, не знаю.
Я тут протестировал сайт во всех доступных браузерах, OS и мобильных устройствах - CrossBrowserTesting.com. В тестовом бесплатном режиме после регистрации доступно. Вроде везде все в порядке.
"Явно выраженные разрешения пользователя (на установку расширения, транслирующего рекламу на наших сайтах) заключаются в его решении установить софт и соответственно в его желании чтобы он работал, а что для этого нужно сделать, или необходимую запись в реестре или прописать необходимые исключения в его программном окружении это уже задачи инсталлятора. "
Да они даже не отрицают, что обворовывали вебмастеров. Минимум 15 млн. установили эту программу, и смотреть им на трясущиеся животы или нет - "это уже задачи инсталлятора." А вот теперь всполошились.
http://forum.kaspersky.com/index.php?showtopic=306365&st=20&p=2300171***entry2300171
Проверьте, включен ли mod_headers на сервере (или уточните в ТП хостинга). Сегодня у меня с данным кодом пока 1 переход на г***бонго (ранее в это время уже 15-20 минимум было)
С кодом Content Security Policy в .htaccess в Chrome все ок, а в Firefox не грузятся виджеты vk.com и выдает вот что в консоли:
Этот сайт указал как заголовок X-Content-Security-Policy/Report-Only, так и заголовок Content-Security-Policy/Report-Only. Заголовок X-Content-Security-Policy/Report-Only будет проигнорирован. invertornyj-kondicionerНесбалансированное дерево было написано с использованием document.write(), что привело к повторному парсингу данных из сети. Для получения более подробной информации прочтите https://developer.mozilla.org/en/Optimizing_Your_Pages_for_Speculative_Parsing invertornyj-kondicioner:328Несбалансированное дерево было написано с использованием document.write(), что привело к повторному парсингу данных из сети. Для получения более подробной информации прочтите https://developer.mozilla.org/en/Optimizing_Your_Pages_for_Speculative_Parsing invertornyj-kondicioner:520Error: Permission denied to access property 'toString'
Как бы эти ошибки пофиксить?
Могу поделится кодом, где есть все перечисленное Вами (в том числе, благодаря советам на форуме), кроме ледикеш (придется отловить в консоли и добавить самостоятельно)
<ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-WebKit-CSP "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru an.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self' data: http://fonts.gstatic.com:*; connect-src 'self' mc.yandex.ru *.gstatic.com" </IfModule>
добавить в .htaccess. Возможно придется допиливать, смотрите ошибки консоли до и после установки.
Сделал во всех вариантах, в результате исправление второй ошибки пофиксило 112 ошибок, возникающих при исправлении первой и выдало все теже 4 ошибки:
Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAAFk8AA4AAAAAk…+rr9vzFf+/FPdR3EdxH8V9FHdR3EVxF8VdFHdRqmrImBHjh4+eMHbk3xoQhjkAAAFTtF6HAAA=' because it violates the following Content Security Policy directive: "font-src 'self' http://fonts.gstatic.com:*".
Может это не очень критично и оставить все как было...
Уже пытался так делать, выдало 112 ошибок
Refused to load the font 'http://fonts.gstatic.com/s/opensans/v10/PRmiXeptR36kaC0GEAetxlG2YASMDG4K4_XuakzasE8.woff2' because it violates the following Content Security Policy directive: "font-src 'self'".
Путем подбора получил такой код:
<ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" Header set X-WebKit-CSP "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' my2.imgsmail.ru www.gstatic.com yandex.st pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru mc.yandex.ru an.yandex.ru www.google-analytics.com https://www.google-analytics.com; object-src 'self' www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com; media-src 'self'; frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com ; font-src 'self'; connect-src 'self' mc.yandex.ru *.gstatic.com" </IfModule>
Визуально работает практически все - РСЯ (с иконками, миниатюрами и прочим), адсенс, ютуб, прочая мелочевка типа граватара. Вот только консоль ругается на шрифты от адсенса
Refused to load the stylesheet 'http://fonts.googleapis.com/css?family=Open+Sans%3A300italic%2C400italic%2C…300%2C400%2C600&subset=latin%2Clatin-ext%2Ccyrillic%2Ccyrillic-ext&ver=4.0' because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline'".
