только по отчётам CSP, методика настройки , только заголовки "X-WebKit-CSP", "X-Content-Security-Policy" - не нужны, достаточно "Content-Security-Policy".
Для работы метрики и аналитики к той CSP, что у вас есть, надо добавить домены:
в connect-src: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru
в img-src: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com
в script-src: https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru
вот как будет выглядеть итоговая CSP:
default-src 'self' *.мой сайт мой сайт; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.мой сайт мой сайт *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.smartadv.ru smartadv.ru *.cackle.me cackle.me *.addthis.com addthis.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru; frame-src 'self' *.мой сайт мой сайт *.cackle.me cackle.me *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.addthis.com addthis.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com; connect-src 'self' *.cackle.me cackle.me wss://*.cackle.me *.мой сайт мой сайт mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru; style-src 'self' 'unsafe-inline' 'unsafe-eval *.мой сайт мой сайт *.addthis.com addthis.com *.cackle.me cackle.me *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; font-src 'self' *.мой сайт мой сайт *.bootstrapcdn.com bootstrapcdn.com *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:; img-src 'self' *.мой сайт мой сайт *.vk.me vk.me *.gravatar.com gravatar.com *.wp.com wp.com *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.smartadv.ru smartadv.ru *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com web.icq.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com; object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.ytimg.com ytimg.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;
Если уверены, что ничего больше не блокируется из нужного на сайте - enjoy!
Против воровства трафика по технологии из этого топика - не нужно. Полностью открытая CSP по default-src * и отдельная директива для sandbox, всё это вставляется в файл .htaccess:
<ifModule mod_headers.c>Header set Content-Security-Policy "\default-src *;\sandbox allow-forms allow-pointer-lock allow-popups allow-same-origin allow-scripts;\"</IfModule>
Приношу извинения за мой сарказм, я сначала тоже все их перечитала и RU и EN. W3C можно только пробежать глазами по диагонали - там сухой технический язык для разработчиков браузеров и ничо не понятно нет рекомендаций для вебмастеров.
На Серче есть краткая теория настройки CSP, если интересно - welcome в профильный топик, чтобы не оффтопить тут.
Нормальная ситуация.
В первом (по вызову в html-коде) блоке показывается самая дорогая реклама.
Похоже, у вас самыми заметными для посетителей были второй и третий блоки с дешевой рекламой.
*.4zw.pw - malware, к адсенсу не относится.
http:// imrk.net - поддомен от рекламной сети AdvMaker, к Адсенсу не относится
qservz.com и c.mscimg.com - лень смотреть, но к Адсенсу не относятся, nslookup -type=all у них посмотри, там нет DNS от google -> фтопку
*.adobe.com - хороший домен, но не от Адсенса
По консоли браузера - очень грубая настройка, на неё нельзя полагаться. Она не моделирует полностью всего, что может происходить на сайте.
Укажите какие счётчики не работают и покажите свою CSP.
100% помогает для браузеров, которые поддерживают директиву sandbox (это CSP level 2). Она выполняет точно такие же функции как и атрибут sandbox для iframe в HTML5 (sorry, что ссылку на htmlbook.ru не даю - там сильно устаревшая инфа).
Если убрать "allow-top-navigation" из песочницы sandbox - ни один фрейм на странице не сможет получить доступ к window.top.location.
PS: sandbox поддерживают все Chrome и Opera и все, которые на движке Blink (FF - не поддерживает, тут St_Silent был прав). На счёт всяких экзотических Safari - не проверяла, их 0.5%.---------- Добавлено 16.01.2015 в 16:25 ----------
Нужен только один загловок Content-Security-Policy, все остальные - "тени из прошлого". Читайте свежую прессу, интернет быстро меняется
vyacheslav12, видно, что вы начитались разных бложиков, но практически с CSP дела ни не имели.
Хоть объяснить то почему смысла нет - сможете?
PS: Вот я её поставила на 50 с лишним сайтах, и ни на одном скрипты не вынесены в отдельные файлы. Смысл вижу:
- увеличение дохода на Адсенсе/Директе на 5-10%
- у меня не воруют траф, как написано в шапке этого топика
И при этом разрешены и инлайн-скрипты и даже 'unsafe-eval'
CSP работает совсем не так, как вы это излагаете.
Советую, всё-таки, почитать w3c и перейти от теории к практике.
И что же там кривого?
Вот для этого браузеры поддержку Content Security Policy и внедрили, уже 4 года как. И другого - ничего не будет.
w3c с 2010 года уже в курсе.
Может, и больше - у него было задействовано как минимум 2 партнёрки:
- Амазон - там на него настучали быстро в саппорт.
-Алиэкспресс
Тут тоже отметили амазон и алиэкспресс
Только буржуйские партнёрки требуют полной идентификации партнёра, и реагируют на каждую жалобу.
Поэтому расплата за мошенничество - неминуема, а бан - пожизненный.
PS: Судя по тому, как аффтар затеи куражится в топике - завоевание мира у него провалилось. Скорее всего, действительно, он не продумал схему безопасного слива трафика и на этом погорел.
Это - отличная целевая аудитория, умеющая пользоваться интернетом, имеющая карточки и электронные кошельки и покупающая в интернет-магазинах.
По данным от руководителя группы разработки Метрики на 2011г:
Если маленький процент - это 10%, то на 2011г Метрика стояла на сотнях тысяч сайтов.
Вот тут аффтар затеи приводит свою статистику 3-8% вебмастеров ведётся на этот рефспам. Перемножьте цифры между собой и помножьте на % комиссионных Алиэкпресса.
По минимуму - если ведется 3% вебмастеров. и они тратят 1000 руб в месяц на интернет-покупки, то со 100 тысяч "Метрик" получается 90 тыс руб в месяц при партнёрской комиссии 3%.
Метрик - в 20-30 раз больше(если не в 1000), партнерская комиссия бывает до 5%, вестись может до 8% вебмастеров - то есть, полученную цифру дохода можно смело умножить на 100. Как вам доход 5-9 лямов в месяц?
Плюс, та же хрень работает и в Google-аналитикс, и он по ней спамит тоже в буржунете.
Он код вашей метрики запускает на своём сайте и там подсовывает ей левые данные. Вы можете вообще выключить ваш сайт - а его переходы в метрике будут показываться.
Метрика так устроена - ваш код метрики будет работать на всех сайтах. Google-аналитика - тоже.
Трудное детство, деревянные игрушки.
А если честно - подстраивалась под сленг того, кому отвечала.
Вряд ли, вот эту страницу перечитайте. Хотя, Яндекс одну дыру прикрыл в метрике, ТС пришлось менять принцип работы.
И, если ТС не дурак - ему незачем ежедневно ваш сайт дергать и расходовать мощности. Реф-ссылка Алиэкпресса живёт 30 дней. Ему нужно одно ваше посещение в месяц.
