Всему виной оказался модуль PHP Free Chat - https://www.drupal.org/project/phpfreechat
Отключил его и сообщения вернулись.
Кстати, может кто-нибудь подсказать, как лучше сделать чат для юзеров D6, чтобы держал нормально в пике около 1к человек. Ресурсы серверные есть на это. Пробовали подключить jabber сервер и через xmpp модули соединить drupal и чат - но это на столько сложно будет для юзера, что от идеи отказались.
KGB
1 - заголовки выводятся, проверял, вставляю их в самое начало index.php
2 - выложил так, чтобы читалось удобнее на форуме, вам лично могу портянку в строку прислать
Короче, спасибо Кэп ;)
Сунул в htaccess, посмотрю на результат.---------- Добавлено 24.02.2015 в 00:58 ----------Вдогонку, что это за домены, подскажите:
imrk.net
whisla.com
upstats.ru
rtcdn.ru
bidswitch.net
alltereg0.ru
adv679854.ru
luxup.ru
У меня всё на месте осталось, хотя сегодня целый день с CSP:
Вот мои правила:
header("Content-Security-Policy: default-src 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ; script-src 'unsafe-inline' 'unsafe-eval' 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ *.adeasy.ru adeasy.ru am15.net *.am15.net *.100im.net 100im.net cityads.ru *.cityads.ru ads.actionteaser.ru vk.com *.vk.com https://vk.com https://*.vk.com vkontakte.ru *.vkontakte.ru https://vkontakte.ru https://*.vkontakte.ru adforce.ru *.adforce.ru *.yandex.ru yandex.ru youtube.com *.youtube.com https://youtube.com https://*.youtube.com https://*.googleapis.com https://www.google.ru *.google-analytics.com google-analytics.com https://google-analytics.com https://*.google-analytics.com googlesyndication.com *.googlesyndication.com https://*.googlesyndication.com advapi.ru *.advapi.ru https://advapi.ru https://*.advapi.ru *.google.ru google.ru https://google.ru https://*.google.ru google.com *.google.com https://google.com https://*.google.com *.gstatic.com *.googleapis.com doubleclick.net *.doubleclick.net https://doubleclick.net https://*.doubleclick.net; object-src 'self' 'unsafe-inline' 'unsafe-eval' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ *.cityads.ru an.yandex.ru https://an.yandex.ru https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com *.youtube.com ytimg.com *.ytimg.com ytimg.com https://ytimg.com https://*.ytimg.com googlevideo.com *.googlevideo.com https://googlevideo.com https://*.googlevideo.com *.googleapis.com googleapis.com https://*.googleapis.com https://googleapis.com gstatic.com *.gstatic.com https://*.gstatic.com doubleclick.net *.doubleclick.net https://doubleclick.net https://*.doubleclick.net advapi.ru *.advapi.ru https://advapi.ru https://*.advapi.ru *.twitch.tv macromedia.com *.macromedia.com adobe.com *.adobe.com; frame-src 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ googleads.g.doubleclick.net *.doubleclick.net https://doubleclick.net https://*.doubleclick.net *.am15.net am15.net vk.com *.vk.com https://*.vk.com https://vk.com google.ru *.google.ru https://googleads.g.doubleclick.net https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com *.youtube.com *.youtube.ru *.1tv.ru googlesyndication.com *.googlesyndication.com https://googlesyndication.com https://*.googlesyndication.com advapi.ru *.advapi.ru https://advapi.ru https://*.advapi.ru; connect-src 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ *.googleapis.com *.google-analytics.com *.yandex.ru yandex.ru; font-src 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ https://fonts.gstatic.com fonts.googleapis.com https://fonts.googleapis.com; img-src 'self' data: *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ vk.com counter.yadro.ru *.adeasy.ru https://vk.com *.adsniper.ru *.kavanga.ru *.bubblesmedia.ru *.cityads.ru *.actionteaser.ru cm.g.doubleclick.net doubleclick.net *.doubleclick.net google-analytics.com *.google-analytics.com *.googlesyndication.com https://*.googlesyndication.com https://login.vk.com https://*.google.com https://google.com cityads.ru *.cityads.ru adobe.com *.adobe.com *.yandex.ru yandex.ru *.am15.net am15.net *.youtube.com youtube.com; media-src 'self' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ youtube.com *.youtube.com https://youtube.com https://*.youtube.com; style-src 'self' 'unsafe-inline' 'unsafe-eval' *.МОЙСАЙТ.РУ МОЙСАЙТ.РУ googleapis.com *.googleapis.com https://*.googleapis.com *.youtube.com youtube.com ;");
Может дело в том, что не в .htaccess вставляю, а в php (в index.php CMS)?
В общем у меня ситуация следующая.
Если прописывать script-src 'unsafe-inline' 'unsafe-eval' - сайт работает нормально, но в этом нет смысла с точки зрения цели внедрения CSP.
Если убрать 'unsafe-inline' 'unsafe-eval', то наверное так безопаснее, зато сайт перестаёт работать. Не загружаются родные скрипты, шаблоны рвуться, функционал не работает (тот же wysiwyg глючит).
Как быть?
ctit, таких ошибок не видел, по крайней мере ни в отчетах, ни в консоли.
Итак, почти 14 часов прошло с установки CSP. Доход adsense упал.
adhigh.net - чей это зверь? Просится часто. Такие вариации, как ft7-de.adhigh.net, ft8-de.adhigh.net, px.adhigh.net и тд.
А зачем два раза два раза повторять ключи в тайтле?
По сабжу - пс на разделители пофиг.
Разобрался с Youtube! Сейчас расскажу как.
На будущее всем: в репортах могут отображаться не все блокировки, иногда надо смотреть вручную. Для этого в Firefox есть расширение Firebug > жмём F12 > Консоль > там будут ошибки вида:
Content Security Policy: Параметры страницы заблокировали загрузку ресурса... и дальше правило в котором не разрешен указанный ресурс.
В моём случае блокировались адреса: ytimg.com, googlevideo.com и doubleclick.net
Добавил его в object-src (помимо всего прочего):
object-src https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com http://*.youtube.com ytimg.com *.ytimg.com http://ytimg.com https://ytimg.com https://*.ytimg.com googlevideo.com *.googlevideo.com https://googlevideo.com https://*.googlevideo.com doubleclick.net *.doubleclick.net https://doubleclick.net https://*.doubleclick.net
Теперь ролики с Youtube работают в любом виде.
И вопрос. Нужно ли дублировать адреса c http и без? https понятно, что надо, а такая запись:
ytimg.com
и
http://ytimg.com
не является ли дубляжом?---------- Добавлено 23.02.2015 в 13:00 ----------pavel419, всё это не с ноября началось, а уже несколько лет длится. Просто начали обращать внимание недавно.
В отчетах у меня тоже вроде как всплеск в ноябре, но на самом деле это не так. Дело в том, что редиски тоже не тупые и постоянно меняют домены.
Текущая пачка, например pozitivrekl.ru, chinarestaurantglencarbon.com, jquerys.ru, musicalert.ru, quick-searcher.net и другие получили своё распространение именно с ноября.
По сабжу, ребята вообще страх потеряли - http://www.surfearner.com
---------- Добавлено 23.02.2015 в 13:12 ----------Кто-нибудь пробовал писать Платону с проблемными сайтами после установки CSP? Позиции возвращали?---------- Добавлено 23.02.2015 в 13:22 ----------Мой промежуточный результат после установки CSP (около 8-9 часов после установки).
Adsense:
Посещаемость по ливеру - сегодня +900 посетителей и +2000 просмотров, хотя понедельник и обычно идёт спад с такими же показателями. Возможно стояли редиректы, которые CSP благополучно порезал.
Осталось докрутить для адсенса. Мне кажется, что режу что-то нужное, но еще не нащупал.
Почему-то после настройки csp видео с тытрубы через <iframe><embed> работает, а через <object> не хочет. Настройки для youtube у object-src и frame-src совпадают.
Тогда почему один метод пашет, а другой нет?
В репортах пусто.
pavel419, на указанном мной сервисе есть отчеты, которые формируют блокированные запросы. Их за пол часа (ненужных) набралось более 4 000 штук. Так понятнее? :)
Кстати, рекомендую, ребят. Оно мне реально кучу времени сэкономило, не поленюсь еще раз линк вставить, да простят меня модеры: https://cspbuilder.info
Заносим их сгенерированный header на сайт.
Смотрим репорты, отмечаем то, что хотим оставить.
Получаем готовое правило для CSP любого вида.
Короче говоря, полуавтоматическая генерация CSP для домохозяек )))
Не знаю, давали линк в теме или нет, но вот - https://cspbuilder.info/static/#/main/
С помощью него генерирую сейчас правила. Примерно за пол часа работы сервис собрал около 4000 левых запросов. Я в шоке.
