vovan905

Рейтинг
32
Регистрация
03.04.2012
Настройка CSP - Content Security Policy

Здраствуйте! нужна помощь с CSP. Установил себе на сайт в .htaccess:

<ifModule mod_headers.c>

Header set Content-Security-Policy "\

default-src 'self' мой_сайт *.мой_сайт;\

script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-

counter.ru counter.yadro.ru www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st mc.yandex.ru an.yandex.ru;\

object-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru video.yandex.ru https://video.yandex.ru https://www.tns-counter.ru

counter.yadro.ru www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st an.yandex.ru;\

style-src 'self' 'unsafe-inline' мой_сайт *.мой_сайт www.liveinternet.ru;\

img-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru www.liveinternet.ru mc.yandex.ru yandex.st;\

media-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru an.yandex.ru yandex.st;\

frame-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru an.yandex.ru yandex.st;\

font-src 'self' мой_сайт *.мой_сайт www.liveinternet.ru;\

connect-src 'self' мой_сайт *.мой_сайт *.yandex.net https://mc.yandex.ru www.tns-counter.ru https://video.yandex.ru https://www.tns-counter.ru counter.yadro.ru

www.liveinternet.ru yandex.com https://mc.yandex.ru www.kinopoisk.ru yandex.st mc.yandex.ru an.yandex.ru;"

</IfModule>

Проверял, она работает, например если удалить из белого списка counter.yadro.ru, счетчик от LI не загрузится, то есть по идеи никаких левых переходов при такой политике не должно быть, а они есть!!! Не подскажите по какой причине политика может не срабатывать и не блокировать левые переходы???

Переходы Смотрю в статистике ЛИ:

quick-searcher.net 35

quick-searcher-v3.com 272

pozitivrekl.ru 5

quick-searcher-sngs.com 2

quick-searcher-v2.biz 2

и яндекс метрике:

http://78.47.6.114/api/getLink/

http://78.47.6.114/api/getLink/?cb=0.3542400375008583

При проверки ответа сервера высвечивается Content-Security-Policy, то есть работает.

Настройка CSP - Content Security Policy
samimages:
А там есть доступы к php или .htaccess?

---------- Добавлено 18.02.2015 в 04:10 ----------



НЕту ни того ни другого, но по-моему можно подключить php как дополнительную услугу, а других вариантов, кроме этих двух не существует??
Настройка CSP - Content Security Policy

Помогите адаптировать Content-Security-Policy под UCOZ

Какой код нужно прописать и где? Куда вписать сайты, на которые не должны переходить пользователи?? Заранее спасибо!!