Ladycharm

Но никарагуанский суд иск тоже не примет, тк нарушен российский закон об авторских правах. Нарушение законодательства РФ должны рассматривать суды РФ.

Вы просто:

1. гоняете мелочь по 100$

2. ещё не общались с техподдержкой WM

Счёт юзабилити - попробуйте интернет-банкинг, круче на 2 порядка, не говоря о надёжности и безопасности.

В отчёте о блокировке присылается директива, которая заблокировала, поле в json называется "violated-directive". В неё и прописываете.

Но когда у вас все домены прописаны в default-src - в "violated-directive" будет светиться именно default-src. Это ещё один минус против пихания всего в default-src.

Хотя некоторые браузеры уже шлют в json поле "effective-directive" - именно та, которая реальна заблокировала, даже когда всё прописано только в default.

Некоторые вредоносные плагины (замечены server381, server388 и более 2000 аффилированных с ними доменов) - сначала убирают со страницы Адсенс и Директ, а потом уже размещают свою рекламу.

CSP блокирует их рекламу, но показов вашего Директа/Адсенса тоже засчитано не будет - их убирает сам плагин ещё на этапе рендеринга html-кода.

В default-src технически запихать можно - по сути из него инициируются все остальные 8 директив(media, frame, img, script, connect, object, font, style), когда они не указаны.

Работать - будет, но если вы явно добавите какую-либо директиву, например img-src - она перестанет инициироваться из default и будет работать только то, что там прописано.

- в img-src часто приходится открывать data:, чтобы работали инлайн-картинки по data:image/gif;base64,KGZ1bmN0aW9u...

- в font-src/style-src приходится открывать data: чтобы работали внешние шрифты по data:application/x-font-woff

А если data: прописать в default-src - это разрешит работу вредоносных скриптов, так же встраиваемых по data:text/javascript;base64,KerGZ6ty1bmN0aW9u...

Те CSP сможет блокировать не всё.

* Адсенс(как и Директ) не придерживаются SOP (Same Origin Policy) поэтому надо дублировать все домены с https: даже на http:-сайте.

Для надёжности, надо продублировать все чужие домены с https://, то есть писать:

yandex.ru    *.yandex.ru    https://yandex.ru    https://*.yandex.ru

*.yandex.ru - разрешит поддомены, указания только yandex.ru - не достаточно, тк Директ использует загрузку картинок и скриптов с поддоменов.

Так же, надо добавить атрибут 'unsafe-inline' в директивы script-src и style-src(в вашем случае - в default-src) - их используют: Директ, Адсенс, и без этого не будут работать инлайн-стили типа style='...' в тэгах на сайте, и инлайн event handler-ы типа onClick='...' в тэгах.

Для Директа и Метрики надо открыть 'unsafe-eval' в директиве script-src(в вашем случае - в default-src)

PS: Когда вы пропишете все нужные домены и протоколы в ваш default-src (а их будет более 4-х десятков) - поймете, что их было удобнее разносить по нужным директивам.

PPS: В CSP - всё просто, но не настолько, как кажется.

Регистрация на форуме == публичная оферта, так, что, не такой уж и "частный".

Существуют. Можно выдавать CSP мета-тэгом:

Но я выдачу CSP через meta-тэг детально не исследовала, только знаю, что она работает с некоторыми ограничениями и не все браузеры могут поддерживать.

** Кстати, CSP будет резать и рекламу самого Юкоза тоже :)

Вставка и подмена рекламы в рунете началась с конца 2013 года (встречались единичные плагины), в буржунете - на пару лет раньше.

В конце ноября плагины для подмены рекламы были поставлены на поток, и эта тема вышла из тени. Сейчас, под плагины подмены рекламы, домены регистрируются тысячами (чаще - абракадабра из букв, тк регистрируются автоматами), поскольку эти домены быстро попадают в списки Аддблоков - их постоянно меняют на новые.

Даже не надо "закрывать сайт на ремонт" - делаете отправку CSP только для вашего IP и ходите по сайту в любое время не заражённым браузером.

Получите только полезные домены, только не все.

Для вашего IP будет показываться не весь спектр рекламы, например моему IP не показывается видеореклама RTB(не та геопривязка, не те интересы в куках), те её домены я так не выловлю.

Так же не выловятся некоторые домены и скрипты, работающие когда посетитель заходит на сайт залогиненым в G+, Твиттере/Вконтакте/Youtube....

Только в том, что народ надеется на некоторую анонимность и сложность контроля со стороны налоговой. Поэтому согласны рисковать своими деньгами.

А когда работаешь "в белую", вебмани не нужны - у меня их нет, никаких проблем - не испытываю.

Сергей, Вы сможете написать плагин по стандартам Вордпресс.org?

Есть ли какие-то из ваших плагинов, которые размещены на https://wordpress.org/?

Для Адсенса с Директом должна быть:

Попробую посмотреть, что за "зверь" этот download.php в DLE и что он использует.

Я переписала вашу CSP в более читабельный вид:

#Header set Content-Security-Policy-Report-Only
<ifModule mod_headers.c>
Header set Content-Security-Policy "\
default-src 'self';\
connect-src 'self' www.google-analytics.com https://www.google-analytics.com mc.yandex.ru;\
frame-src 'self' bcp.crwdcntrl.net *.doubleclick.net https://*.doubleclick.net *.facebook.com https://*.facebook.com *.google.com https://*.google.com *.googlesyndication.com vk.com yandex.st yastatic.net https://vk.com https://login.vk.com awaps.yandex.ru mc.yandex.ru www.youtube.com https://www.youtube.com;\
object-src 'self' https://*.googleapis.com *.gstatic.com www.youtube.com https://www.youtube.com;\
script-src 'self' 'unsafe-eval' 'unsafe-inline' *.doubleclick.net *.facebook.com https://*.facebook.com *.facebook.net www.google-analytics.com https://www.google-analytics.com *.google.com https://*.google.com *.googleapis.com https://*.googleapis.com *.googlesyndication.com https://*.googlesyndication.com *.gstatic.com https://*.gstatic.com vk.com yandex.st yastatic.net https://vk.com https://yastatic.net *.tynt.com *.yandex.net https://site.yandex.net an.yandex.ru awaps.yandex.ru clck.yandex.ru mc.yandex.ru;\
"
</IfModule>

Если вставите её в .htaccess по copy-paste, сохранив все " и \ - она будет работать точно так же, но вносить изменения намного удобнее.

Сразу видно, что вашей CSP используются 4 директивы (не считая default-src, которая больше для "своих доменов"):

connect-src - разрешает обращаться к домену методом "connect"

frame-src - разрешает загружать фреймы с src= перечисленным доменам

object-src - разрешает обращаться к указанным доменам из тэга <object>(загружать видео)

script-src - разрешает загружать скрипты с перечисленных доменов

Домен надо добавлять в те директивы, в которых надо открыть доступ для него. Например, если с этого домена вставляются картинки - надо добавить директиву img-src и прописать домен туда. Например:

разрешит загружать картинки со всех поддоменов mail.ru и yandex.net.

Кстати, ваша CSP не позволяет вставлять картинки, кроме как с вашего же сайта - нет директивы img-src, значит будут использоваться правила по-умолчанию из default-src - а там только 'self' разрешён.

В CSP не "запрещающий" список, а "разрешающий". Доменам, что там перечислены - могут использоваться на сайте в скриптах/фреймах/картинках/стилях, всем остальным - нельзя.

Скачиваются, проверила в Opera 10, FF 13, Chrome 39.0 на по ссылках типа <a href='/file.rar'>скачать</a> и открываются в браузере для просмотра по ссылкам <a href='/file.doc'>скачать</a>

Антилич какой-нибудь установлен? Ошибки яваскрипт в консоли браузера есть?

На ссылки CSP не действует, но если скачивание делается на яваскрипте/flash - там могут использоваться методы, попадающие под ограничение в connect-src или object-src.

Если мешает CSP - будут видны её ошибки в консоли браузера.