Плагином и проверяйте. Вторая кнопка справа на панели плагина. Можно любой список доменов туда заснуть, оптимально кусочками до 50 тысяч штук. Все полученные значения экспортируются в эксель на вкладке "Экспорт данных".
А это для кого? http://www.yandex.ru/all
Если вы уверены, что сам сайт не взломан, то да, остается только браузер пользователя.
Добавить www.liveinternet.ru в img-src
Классическая CSRF. И что, это реально работает и админы OK об этом не знают?
http://yandex.ru/checkcaptcha?key=KEY&retpath=PATH&rep=CODE
CODE - значение разгаданной капчи, KEY и PATH - параметры из полей формы на странице отправки капчи.
Комментарии это просто комментарии. Никакого отношения к заголовкам они не имеют. В приведенном примере кода комментарий мог быть вставлен где угодно.
Все серверные заголовки должны выводиться до начала любого вывода html, поэтому вывод CSP нужно вставлять в самое начало файла. На любых движках.
Можно прям в http добавить. Хотя если сайтов несколько, то лучше в server или location для каждого отдельно.
Это для IE заплатки. Не помешает, но к CSP отношения не имеет.
Для использования add_header нужен только ngx_http_headers_module.
Vipper222, а в чем проблема с nginx? Нужен только модуль ngx_http_headers_module и строка с заголовком CSP в nginx.conf Сами правила политики от используемого сервера не зависят.
add_header Content-Security-Policy "default-src 'none'; connect-src 'self'; child-src 'self'; font-src 'self'; frame-src 'self'; img-src 'self'; media-src 'self'; object-src 'self'; script-src 'self'; style-src 'self'; ";
