Кому надо в 1 файле: http://yourcommentit.ru/modulCSP.rar
Инструкция:
1. Копируем все папки и файлы в корень сайта
2. На папку csp права на запись 777
3. в файле .htaccess пишем:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src *;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st ;report-uri /csp.php"
</IfModule>
-------------------------------
И теперь ответ на ваш вопрос: Что это вообще такое?!
Весь код нужно вставлять в 1 строчку, но для удобства понимая я разобью его и распишу, что и как. Этими строчками мы браузеру даём понять, что ему можно, а что нельзя.
Header set Content-Security-Policy - Устанавливает сам запрос
"default-src 'self'; - Все ресурсы (по-умолчанию) мы разрешаем со своего сайта, 'self' = наш текущий домен
style-src 'unsafe-inline' *; - CSS файлы пусть грузятся любые внешние и внутренние и всё что между <style></style>
img-src * data:; - Картинки мы размещаем грузить откуда угодно, всякие счётчики, иконки и т.п.
media-src *; - Видео файлы и аудио мы размещаем грузить откуда угодно, mp4 файлы в плеерах и т.п.
font-src *; - Шрифты разрешаем все
frame-src *; - встраивать iframe могут все, ибо это очень любят тизерки
Теперь самое интересное, JavaScript!
В примере написано:
script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st
Этим мы РАЗМЕШАЕМ:
1. 'self' - сами себе разрешаем
2. 'unsafe-inline' и 'unsafe-eval' - разрешаем выполнять скрипты внутри страниц нашего сайта т.е., что будет в <script>Ява код</script>
3. далее указаны через пробел домены с которых разрешено грузить JS скрипты. Тут обязательно должен быть домен от WAP партнёрки с которого грузится JS. Далее перечисляются все хосты от тизерок и других парнёрок.
report-uri /csp.php" - Это кто будет обрабатывать отчёты об ошибках. У нас есть два файла csp.php = полные отчёты о срабатывание и csp2.php = Урезанный, которые показывает только урлы, которые заблокировали и ещё часть техническую. Все файлы складываются в папку /csp/ и там хранятся.
По началу достаточно /csp.php, чтобы проверять всё ли нужное разрешено, смотреть логи не забанено ли что-то лишнее и т.п. Потом можно переключить на csp2.php чисто для фана посмотреть сколько урлов ломиться к вам. Или потом вообще убрать эту строчку report-uri /csp2.php
Вот и всё.
Более подробное расписание, что и как и дополнительно тут: http://zabolotskikh.com/tips/content-security-policy/
Получил свои текста. Сначала конечно получилось забавно про количество символов ибо у нас разные цифры были в разы. Но потом разобрались и теперь всё выглядит просто чудесно.
Текст вышел отличный под мою тематику. Поэтому скорее всего закажу ещё, конечно уже за денюжку.
Рекомендую!
Только агрессивный редирект т.е. получается сайт как бы дорвей.
Домены у регистраторов доменов
Хостинг и хостеров
о боже, наверное 1 сквозняк поставили и уже паника. Ну как что делать. На завод работать или сотовыми торговать.
Это вообще должно прописано быть по умолчанию на сервере. Если это не сделано то бить по рукам админа.
В папку кидаете .htaccess
с содержанием:
Order Allow,Deny
Deny from All
Продавать тему за суточную окупаемость?
Школьную линейку пропустили?
И кроме как закрытие вкладки это вызывает другую реакцию?
У вас на всех серверах одна и так же ОС? И дома тоже? Название то скажите. И версии одинаковы и ядра?
