Как и писал выше правила с frame поправьте и должны уйти тоже.
Вы правы!
Конечно лучше сделать вот так:
frame-src 'self' http://bzlwe.com http://*.bzlwe.com;
Я просто не подумал, что расширения просто тупо внедряют iframe и всё. Без скриптов.---------- Добавлено 04.09.2015 в 19:26 ----------Инструкцию обновил по ссылке.
Какое-то расширение вставляете к вам на сайте гугл.аналитикс для своих целей (подсчёта трафика). В этот же момент вы юзаете вапклик и у вас нет своего гугл.аналитикс на сайте. И это расширение помогает гуглу узнать, что твориться на сайте. А сами приложение конечно может просто тизерку выводить или что-то ещё.
Браузер да. Но никак не расширение, которое, например, занимается переводом страниц или показывает погоду. И уж явно не фейковый антивирус на андроиде :)
Ну попробуйте. Потом нам расскажите :) ---------- Добавлено 04.09.2015 в 17:06 ----------
Казалось бы ДА. НО, а если у вас самого стоит кликандер? Или тизерная сеть? А тут расширения удаляет ваш кликандер и тизерку и подставляет свою. Вот и воровство. Или на весь сайт делает полноэкранную рекламу.
Я даже тут нашёл код который подменяет html5 video блока на свой. Т.е. он встраивает свой плеер и крутит там рекламу взамен вашему. Круто да? :)
Всё на уровне браузера.
ПС это рассчитывают как клоакинг т.е. бот заходит на ваш сайт, рекламы нет. Заходит пользователь и отправляет отчёт через метрику и аналитикс, что реклама на вашем сайте есть. И пользователь её видит и кликает или его перебрасывает. А бот этого повторить не может. По мнению ботов ваш сайт обычный дорвей.
Насчёт телефонов. Люди любят себе ставить всякие якобы антивирусы, якобы быстрые браузеры и т.п. Так же об этом пишет сам Яндекс, ну кончено же в рекламе своего браузера: http://habrahabr.ru/company/yandex/blog/266061/
Но в комментариях всё более прозаично. Разработчикам популярных приложений, просто напросто платят хорошие деньги или они просто имеют %. И в правду, кто откажется от денег при разработке бесплатного приложения.
В прямом, расширение подгружает скрипт например тизерки или кликандера или вапклика, прямо в код вашего сайта. Он обрабатывается так как-будто это часть вашего сайта.
Гугл.аналитик и метрика подгружается в самом конце и считывает, что у вас на сайте есть. А у вас на сайте оказывается куча рекламы и редирект в придачу, если вы подошли по условиям.
Поэтому и настраивается защита CSP, чтобы ничего не смогли браузеры дополнительно внедрить на сайт.
Что есть на вашем сайте вообще не важно. У вас может быть чистый сайт, но через расширения в браузерах и приложениях на телефонах, у вас может быть куча рекламы и с него будут сливать трафик.
i-zol, я понял вас. Я виноват в том, что вы у меня заказали услугу в 2014 году. А я не смог учесть, что в середине 2015 яндекс введёт фильтр и будет всех карать не только за мои услуги, а просто за ссылки. Об этом и есть ваш комментарий.
Спасибо, он очень полезен всем. Удачи в разблокировании и всё таки напишите платону. Это сложнее, чем тут нам писать, я понимаю, но всё же постарайтесь.
Redbaron_chaos, надо разрешить:
https://mc.yandex.ru
и
http://mc.yandex.ru
Насчёт 2 и 3 надо переключить в csp.php репорты и посмотреть полные отчёты.
shareTT.js скорее всего куда-то ещё обращается зачем-то.
