'self' это и есть ваш домен.
Это надо уже на самом сайте смотреть, всё просто смотрится в консоле браузера.
Это возможно кэш у пользователя.
Сделайте полный отчёт csp.php, там будет видно что срабатывает, возможно это не скрипты, а например флэш реклама.
Не всегда. Если не указывать протокол, то протокол будет использоваться такой же как у вашего сайта. т.е. если указали vk.com, а ваш сайт на http, то правило не будет работать т.к. нужно писать https://vk.com
Мне удобнее с http, видно где заканчивается и начинается новый урл.
С параметром frame-src поиграйтесь. Сделайте что-то в виде такого:
frame-src 'self' http://bzlwe.com http://*.bzlwe.com;
и уйдут и эти.
Нет, там просто надо вставить 1 строчку в общий код и всё будет грузится с 1 домена.
Нету. Это запрещено по безопасности.
Вот так надо:
http://*.mc.yandex.ru https://*.mc.yandex.ru https://mc.yandex.ru http://mc.yandex.ru
Если у вас flash надо настраивать параметр:
object-src
у меня его в правилах нет т.е. он запрещён со всех кроме текущего домена. Но нужно изучать.
Как и писал выше правила с frame поправьте и должны уйти тоже.
Вы правы!
Конечно лучше сделать вот так:
Я просто не подумал, что расширения просто тупо внедряют iframe и всё. Без скриптов.---------- Добавлено 04.09.2015 в 19:26 ----------Инструкцию обновил по ссылке.
