LEOnidUKG

Ну попробуйте. Потом нам расскажите :)

---------- Добавлено 04.09.2015 в 17:06 ----------

Казалось бы ДА. НО, а если у вас самого стоит кликандер? Или тизерная сеть? А тут расширения удаляет ваш кликандер и тизерку и подставляет свою. Вот и воровство. Или на весь сайт делает полноэкранную рекламу.

Я даже тут нашёл код который подменяет html5 video блока на свой. Т.е. он встраивает свой плеер и крутит там рекламу взамен вашему. Круто да? :)

Всё на уровне браузера.

ПС это рассчитывают как клоакинг т.е. бот заходит на ваш сайт, рекламы нет. Заходит пользователь и отправляет отчёт через метрику и аналитикс, что реклама на вашем сайте есть. И пользователь её видит и кликает или его перебрасывает. А бот этого повторить не может. По мнению ботов ваш сайт обычный дорвей.

Насчёт телефонов. Люди любят себе ставить всякие якобы антивирусы, якобы быстрые браузеры и т.п. Так же об этом пишет сам Яндекс, ну кончено же в рекламе своего браузера: http://habrahabr.ru/company/yandex/blog/266061/

Но в комментариях всё более прозаично. Разработчикам популярных приложений, просто напросто платят хорошие деньги или они просто имеют %. И в правду, кто откажется от денег при разработке бесплатного приложения.

В прямом, расширение подгружает скрипт например тизерки или кликандера или вапклика, прямо в код вашего сайта. Он обрабатывается так как-будто это часть вашего сайта.

Гугл.аналитик и метрика подгружается в самом конце и считывает, что у вас на сайте есть. А у вас на сайте оказывается куча рекламы и редирект в придачу, если вы подошли по условиям.

Поэтому и настраивается защита CSP, чтобы ничего не смогли браузеры дополнительно внедрить на сайт.

Что есть на вашем сайте вообще не важно. У вас может быть чистый сайт, но через расширения в браузерах и приложениях на телефонах, у вас может быть куча рекламы и с него будут сливать трафик.

i-zol, я понял вас. Я виноват в том, что вы у меня заказали услугу в 2014 году. А я не смог учесть, что в середине 2015 яндекс введёт фильтр и будет всех карать не только за мои услуги, а просто за ссылки. Об этом и есть ваш комментарий.

Спасибо, он очень полезен всем. Удачи в разблокировании и всё таки напишите платону. Это сложнее, чем тут нам писать, я понимаю, но всё же постарайтесь.

Redbaron_chaos, надо разрешить:

https://mc.yandex.ru

и

http://mc.yandex.ru

Насчёт 2 и 3 надо переключить в csp.php репорты и посмотреть полные отчёты.

shareTT.js скорее всего куда-то ещё обращается зачем-то.

Эти сертификаты раздают бесплатно на 1000 доменов. Поэтому ничего не стоит злоумышленникам завести все свои домены на httpS. Вообще ничего не стоит. 🍿

Насчёт защиты, сейчас ещё делаю тесты. Всё упирается в архитектуру самих сайтов. Т.е. всё зло в разрешении вот этого:

script-src 'self' 'unsafe-inline' 'unsafe-eval'

Оно разрешает выполнение <script>JavaScript</script> Рядовому сайту/вебмастеру, например с тизерками или контекстной рекламе нереально всё перелопатить.

Это все парнёрки должны перестать давать свои код в таком виде, и начать уже давать их в отдельном JS файле и перестать их шифров. Но кому это надо, если эти же тизерные системы получают с этого доход и им сливают тоннами такого трафика?

Поэтому это медаль о двух сторонах. Вроде и защита хороша, но всё упирается, что никто не готов к ней. Нигде нет упоминаний, а проблема набирает обороты. Ни один антивирус не сработает на такое расширения браузера т.к. оно ничего плохого по их словам не делает.

Виновники торжества? Нет, это не те, которые вы видите в статистике. А вот кого блокируют:

http://pu.nupiho.ru

http://api.agstat.ru

http://c.am15.net

http://cdn.mecash.ru

http://tds2.mycpm.ru

http://ic.2ed37d85.04e0ca.1.c3821.d.rncdn3.com

http://www.google-analytics.com

http://api.sitestate.ru

http://s3.amazonaws.com

http://mxpopad.com

http://acc.bdzhhjnml.pw

http://ic.b27d20e7.00ef76.1.c3821.d.rncdn3.com

http://pycrenwymt.ru

http://ic.2536f70a.136ac7.1.c3821.d.rncdn3.com

http://ic.d5a97e4d.030621.1.c3821.d.rncdn3.com

http://ic.5b7cd1ec.0f350a.1.c3821.d.rncdn3.com

http://ic.d5a97e4d.043d9d.1.c3821.d.rncdn3.com

http://ic.b279b85d.139e2b.1.c3821.d.rncdn3.com

http://rwqckakqfq.ru

http://gocash01.net

http://ic.bc5c0281.12391e.1.c3821.d.rncdn3.com

http://i.jaxzjs.info/jaxz/javascript.js?channel=jaxzwebtosave&appTitle=WebToSave&hid=US_1411820320110_34458285220

http://www.superfish.com/ws/sf_main.jsp?dlsource=icprkwa&userId=795fce00c820defcfc287&CTID=s07

http://ic.25d42491.0b23ab.1.c3821.d.rncdn3.com

http://ic.b286aeda.0c4cf7.1.c3821.d.rncdn3.com

http://mc.yandex.ru

http://rgeghdwafgfse.info.tm

http://ic.5be6197d.004504.1.c3821.d.rncdn3.com

http://8xi2uwb4o.ru

http://estat-translator.com

http://ic.b279b85d.06757a.1.c3821.d.rncdn3.com

http://ic.1f177e35.105938.1.c3821.d.rncdn3.com

http://dl.metabar.ru

http://asrv-a.akamaihd.net

http://saleclipper-a.akamaihd.net

http://istatic.kingtopdeals.com

http://cds.d7z6w5f5.hwcdn.net

http://hdsrc-a.akamaihd.net

http://ic.b92cd78f.042a2a.1.c3821.d.rncdn3.com

http://ic.1f2b8210.026ab2.1.c3821.d.rncdn3.com

http://ic.591067b2.04dce6.1.c3821.d.rncdn3.com

http://ic.257399b1.0da7db.1.c3821.d.rncdn3.com

http://ic.c287101e.13e270.1.c3821.d.rncdn3.com

http://ic.d56fcc50.01d6d5.1.c3821.d.rncdn3.com

http://i.crbsjs.info

http://cdn.visadd.com

http://clkdeals.com

http://istatic.eshopcomp.com

http://cdncache-a.akamaihd.net

http://api.jollywallet.com

http://a.tfxiq.com

http://cdn.staticwebdom.com

http://cjs.linkbolic.com

http://ic.2e10e4be.0dd3f3.1.c3821.d.rncdn3.com

http://ic.2e10e4be.0296d7.1.c3821.d.rncdn3.com

http://ic.5bcb3f09.0df48e.1.c3821.d.rncdn3.com

http://ic.2e10e4be.10062a.1.c3821.d.rncdn3.com

http://apispecialboxsit-a.akamaihd.net

http://hdapp1003-a.akamaihd.net

http://hdapp1008-a.akamaihd.net

http://srv4pub.com

http://ert.fearfromnone.com

И это только за час работы не весь список. Воры умудряются не только подключать свои скрипты, они ещё без проблем подрубают яндекс.метрику и гугл.аналитик, чтобы ПС явно видели, что происходит на ваше сайте.

Да, приведённая защита не защитит на 100%, но снижает на много вред от скриптов, особенно если вы не хотите сливать данные ПС, а модуля за вас это делают.

Стандарту CSP всего лишь 3-и года, и он появился не на пустом месте. НО как видим обороты из года в год растут в геометрической прогрессии. Что будет дальше, я не знаю. Но делать что-то надо.

Вот как-то так.

У меня как-то так :)

Кому надо в 1 файле: http://yourcommentit.ru/modulCSP.rar

Инструкция:

1. Копируем все папки и файлы в корень сайта

2. На папку csp права на запись 777

3. в файле .htaccess пишем:

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src *;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st ;report-uri /csp.php"

</IfModule>

-------------------------------

И теперь ответ на ваш вопрос: Что это вообще такое?!

Весь код нужно вставлять в 1 строчку, но для удобства понимая я разобью его и распишу, что и как. Этими строчками мы браузеру даём понять, что ему можно, а что нельзя.

Header set Content-Security-Policy - Устанавливает сам запрос

"default-src 'self'; - Все ресурсы (по-умолчанию) мы разрешаем со своего сайта, 'self' = наш текущий домен

style-src 'unsafe-inline' *; - CSS файлы пусть грузятся любые внешние и внутренние и всё что между <style></style>

img-src * data:; - Картинки мы размещаем грузить откуда угодно, всякие счётчики, иконки и т.п.

media-src *; - Видео файлы и аудио мы размещаем грузить откуда угодно, mp4 файлы в плеерах и т.п.

font-src *; - Шрифты разрешаем все

frame-src *; - встраивать iframe могут все, ибо это очень любят тизерки

Теперь самое интересное, JavaScript!

В примере написано:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st

Этим мы РАЗМЕШАЕМ:

1. 'self' - сами себе разрешаем

2. 'unsafe-inline' и 'unsafe-eval' - разрешаем выполнять скрипты внутри страниц нашего сайта т.е., что будет в <script>Ява код</script>

3. далее указаны через пробел домены с которых разрешено грузить JS скрипты. Тут обязательно должен быть домен от WAP партнёрки с которого грузится JS. Далее перечисляются все хосты от тизерок и других парнёрок.

report-uri /csp.php" - Это кто будет обрабатывать отчёты об ошибках. У нас есть два файла csp.php = полные отчёты о срабатывание и csp2.php = Урезанный, которые показывает только урлы, которые заблокировали и ещё часть техническую. Все файлы складываются в папку /csp/ и там хранятся.

По началу достаточно /csp.php, чтобы проверять всё ли нужное разрешено, смотреть логи не забанено ли что-то лишнее и т.п. Потом можно переключить на csp2.php чисто для фана посмотреть сколько урлов ломиться к вам. Или потом вообще убрать эту строчку report-uri /csp2.php

Вот и всё.

Более подробное расписание, что и как и дополнительно тут: http://zabolotskikh.com/tips/content-security-policy/

Получил свои текста. Сначала конечно получилось забавно про количество символов ибо у нас разные цифры были в разы. Но потом разобрались и теперь всё выглядит просто чудесно.

Текст вышел отличный под мою тематику. Поэтому скорее всего закажу ещё, конечно уже за денюжку.

Рекомендую!