Ladycharm

Именно так. многие malware используют вставку рекламы от известных партнёрок: Adlabs Media Network, RedClick, mixmarket.biz, marketgid.com, ads.yahoo, партнёрок поиска отелей и тп.

Например, с adblock-teaser.com внедряется скрипт, который показывает рекламу от:

Я на одном сайте даже CSP настроить из-за этого настроить не смогла - сайт для монетизации использовал все тизерки, которые так же используют для монетизации и большинство malware. Там даже закрывать было нечего :)

Собственная реклама есть у немногих malware. Как показало расследование, эти "вредоносы" - это подпольная сторона работы большинства известных тизерок

blocked-uri:https://apps.2gis.ru,source-file:http://pagead2.googlesyndication.com

Абсолютно правильно понимаете.

Фраза source-file:http://pagead2.googlesyndication.com - по-началу напрягает, но:

- поле "source-file" - экспериментальное и не документировано в CSP. Ваш пример отлично показывает, что там может быть откровенная лажа, поскольку apps.2gis.ru, насколько мне известно, в Адсенсе не рекламируется.

- apps.2gis.ru - это браузерное расширение от 2GIS , оно ловит всё, похожее на номера телефонов на странице, и делает их ссылками на соответствующую страницу справочника 2gis.ru (или на карты Google, если телефона нет в базе данных 2GIS).

Полезно это для вашего сайта или вредно - решать вам. Мне на сайте внешние ссылки(пусть даже и на яваскрипте) на чужие ресурсы - не нужны: Яндекс-Метрика их учитывает, да и посетители по ним уходят.

Вполне возможно, что это браузерное расширение apps.2gis.ru подменяет номера телефонов и в самих рекламных объявлениях Адсенса - apps.2gis.ru работает в самом браузере - у него есть доступ даже внутрь iframe. Насколько корректно оно написано - я не знаю.

Давайте уточним - мы сейчас говорим про то, "как открыть в CSP объявления Адсенс"?

Тогда, при чём тут все остальные рекламные сети из вашего поста?

- они не имеют никакого отношения к Адсенсу

- если вы не имеете партнёрских отношений с republer.com и yahoo - значит их объявления на ваш сайт вставляет malware. Поэтому они должны быть заблокированы.

- вы забываете, что реклама Google показывается в iframe, а ифрейм - другая страница с чужого домена. Внутрь iframe ваша CSP не распространяется(кроме директивы sandbox, о которой пока речи нет), там Google может спокойно показывать что захочет.

Поэтому, ещё раз: всё, что блокируется НЕ с доменов Google(смотрите по nslookup) - не имеет отношения к Адсенсу.

PS: С Яндексом такой подход с nslookup не совсем корректен - в Яндексе можно прописать свою лажу на его DNS

Вы добавили в свою CSP не всё, из перечисленного мной в посте. У вас пропущены:

frame-src: *.googleadservices.com
font-src: *.googleapis.com *.gstatic.com
img-src: *.2mdn.net *.googleapis.com *.gstatic.com

И не смотрите на доходы - доходы сильно зависят от стоимости клика и посещаемости сайта.

Смотрите на ваше среднее количество кликов в сутки или количество показов объявлений(у Адсенса есть такое в статистике) - оно должно несколько увеличиться после установки CSP.

Есть. Что у вас ещё кроме них используется:

- подключение jquery с ajax.googleapis или с самого jquery.org

- форум (на него картинки вставляют отовсюду и ролики с Ютуба/video.mail.ru/vimeo)

- скрипт комментариев типа disqus

- плагины wordpress типа лайтбокс, yost и тп - тоже тянут скрипты со своих доменов

- админка Вордпресса тянет картинки из репозитория *.w.org

- картинка ТИЦ

- Яндекс-метрика, Google-аналитика

- поиск от Яндекса/Google на сайте

- счетчик li.ru/top.mail.ru и тп

- виджеты vk.com/ok.ru/информеры погоды, кнопки share и тп

И, как писала выше, Google и Яндекс не придерживаются SOP (Same Origin Policy) поэтому лучше продублировать все их домены с https: даже на http:-сайте.

"Правильность" правил CSP можно оценить только по анализу CSP отчётов.

Просадки дохода может и не быть, но может резаться что-то из скриптов юзабилити сайта, картинок или стилей.

Их, действительно, безумное количество. На некоторых типах сайтов - до 20% зараженных браузеров, по 15000 заблокированных url в сутки.

Если вы про эту вашу CSP - всё правильно, при её отключении доход однозначно будет расти.

Чтобы ваша CSP не уменьшала доход резала объявления Адсенс, вам надо:

1. добавить в директивы:

script-src:	
	https://*.doubleclick.net
object-src:	
	http://googleads.g.doubleclick.net
	https://googleads.g.doubleclick.net
style-src:	
	http://*.gstatic.com
	https://fonts.googleapis.com https://*.gstatic.com
frame-src:	
	http://*.googleadservices.com
	https://*.googleadservices.com https://*.googlesyndication.com
font-src:	
	https://*.googleapis.com https://*.gstatic.com
img-src:	
	https://*.2mdn.net https://*.doubleclick.net https://*.googleapis.com https://*.googlesyndication.com https://*.gstatic.com

2. убрать из CSP "вредоносов" типа imrk.net и *.4zw.pw

3. убрать 'unsafe-eval' из директивы frame-src - такого атрибута там не бывает.

Я же 2 месяца назад предлагала помочь всё грамотно настроить и перестать страдать фигнёй.

Как убеждали, с помощью утюга на спину?

Единственный замеченный "псеводоэффект" - отчёты о блокировках продолжают сыпаться ещё 2-3 недели после отключения CSP.

То есть, некоторые провайдеры кэшируют заголовки и CSP продолжает работать некотрое время после отключения.

Не совсем пофиг. Он иногда просит подтвердить аккаунт, когда лезешь с другого IP. Раньше подтверждение было по СМС, как сейчас - не знаю.

Не знаю, с Payoneer никогда дел не имела.

Выкладываешь десяток статей с собственными авторскими фотками(чтобы исходные RAW были у тебя). Ждёшь, когда их беззастенчиво утянут.

Подаёшь в суд за нарушение авторских прав, по авторским фоткам процесс решается однозначно. Отсудишь бабки, а заодно и узнаешь, кто там хостер и кто владелец этого статейного агрегатора.

Есть. В вашем случае "магическая цифра" - 600 сообщений.

Статистика наблюдения 50-ти с лишним подопечных сайтов с октября прошлого года показывает с точностью до наоборот.

Вам распространители malware доплачивают за такие посты?

Кто сотрудничает с партнёркой smaclick.com, обратите внимание, что со вчерашнего дня они изменили код скрипта и тайком стали показывать на сайтах партнёров рекламу от других сетей - adnow.com, ladyclick.ru, wbunder.com, adxxx.com.

У кого установлена Content Security Policy - она им это делать не даёт. У кого нет CSP - смотрите чтобы не появилась adult и шок реклама, так как adxxx.com это партнёрка для "взрослых"

Выбросить на ветер всё, накопленное годами, внешнее ссылочное по нужным коммерческим анкорам?! Сильно.