Увы, директива sandbox позволяет рулить всего 6 атрибутами: allow-forms, allow-pointer-lock, allow-popups, allow-same-origin, allow-scripts и allow-top-navigation.
Отключить в сандбоксе можно(и нужно) только allow-top-navigation - это позволит заблокировать некоторых особо хитрых рекламодателей.
Тронете остальные атрибуты -> может перестать работать Адсенс.
Или:
- у вас не работает управление http-заголовками через .htaccess - хостер может отключать эту фичу
- что-то в htaccess прописано неправильно (обычно при этом перестаёт работать сайт и кидает ошибку 500)
- у веб-сервера не установлен mod_headers (в природе практически не встречается)
Пропишите в .htaccess заголовки по-проще (в них сложнее накосячить и они - полезные для сайта):
<ifModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header set X-Frame-Options "DENY"</IfModule>
Если нет - вопросы к хостеру. Если станут - будем аккуратно вставлять CSP.
Популярно про хранилище файлов от Amazon - s3.amazonaws.com, там есть калькулятор - можете посчитать сколько это будет стоить.
Делаете поддомен на своём домене и прописываете его DNS на Amazon. Для картинок и медиафайлов делаете ссылки на этот поддомен. Держать статику "в облаках" уже давно во всём мире практикуется. И веб-сервер свой разгрузите - нафига ему заниматься отдачей статики?
соц кнопки от кого? Яндексовский share.js или mail.ru-шные? РСЯ/Директа на сайте нет?
Вообще, "Списывать - не хорошо", а "списывать CSP" - надо с умом и только из правильного источника.
1). Вот вы открыли my2.imgsmail.ru в директиве script-stc, а это CDN mail.ru, с него грузятся не только скрипты, но и картинки.
И у этого CDN - много серверов: my1.imgsmail.ru, my3.imgsmail.ru, ..., my10.imgsmail.ru, а вы открыли только один из них.
Например, иконка доступна на всех серверах:http://my8.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png http://my3.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.pnghttp://my5.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png
2). Ваша CSP ничего не блокирует, никакие "гобонго" и тп, потому, что у неё некорректный синтаксис.
Директивы script-src/img-src/connect-src/... должны отделяться друг от друга ; (SEMICOLON). Вот кусок вашей CSP:
а вот как он должен выглядеть:
PS: И это - к счастью для вас, что CSP ничего не блокирует - с такой CSP вы бы сразу не досчитались дохода на Адсенсе.
Это дыра не в Адсенсе, а в iframe. Если внутри ифрейма разместить яваскрипт:
if ((self.parent && !(self.parent===self)) && (self.parent.frames.length!=0)) { self.parent.location=document.location }
Для борьбы с этим и придумали песочницу - атрибут sandbox для iframe. С атрибутом sandbox фрейму запрещено менять родительский document.location.href, если в "песочницу" не добавлено значение 'allow-top-navigation'.
Поскольку ифрейм для Адсенса рисуется Гулёвским яваскриптом, песочницу для него установить можно только с помощью директивы sandbox Content Security Policy. Она хоть и 'oiptional', но FF и все браузеры на движке Webkit её поддерживают.
PS: Можно попробовать писать в Google Adsense со ссылкой на этот топик и пытаться убедить их прописать sanbox у их ифрейма.
Легко и непринуждённо. Только вот, чтобы отделать "плохое от хорошего" - лицензия потребуется. Без экспертизы - даже лёгкую эротику от тяжелой не отличить.
Казахи поступают ещё умнее - они едут в РФ(привет Таможенному союзу) и на эти $$ покупают машины за дешеворубли.
Неа, на месте закрытой - сразу появится другая. Зачем Яндексу показывать то, что тебе не интересно? А тут ты сам выберешь, что тебе интересно, и объяснишь в опроснике почему.
В свободном доступе есть практически всё. Только почему-то, при этом, люди ходят в школы и институты.
Самому просеивать тонны мусораинформации, анализировать, систематизировать и ставить эксперименты - жизни не хватит.
Зачастую, намного эффективнее, когда кто-то научит.
Люди на зарплате не заинтересованы на конечный результат, + проблемы учёта их работы. В итоге не будет либо - трафа, либо - его конверсии.
Я. Уже. Давно. Тебя. Зову. Сойти. С Небес. На Землю.
Ты посмотри не на отдельные деревья, а на весь лес в целом.
Пытаться заработать на самих дорах в том виде, как они есть - это постоянный бег по кругу, со снижением рентабельности на каждом новом витке.
Главная проблема вымирания динозавровдоров не в банах Яндекса. СДЛ десятилетиями методично подгребают под себя весь спектр НЧ и супермикроНЧ, вытесняя доры на "семантические помойки" с неконвертируемым трафиком.
Всё, что нужно было от доров - это осознание возможности массового получения трафика и базовых принципов ранжирования ПС. И скрестить нужные качества доров и СДЛ.
Но уже даже Бабулеровские ДДЛ делать поздно - армии роботов и парсеров делают подобное с 2009 года и уже заняты все ниши. И как сейчас подвинуть в топе 5-летний сайт своим молодым ДДЛ?
Нум, какие гарантии, что твоя партнёрка будет работать честно и прозрачно, причём в таком скользком и рисковом бизнесе как доры?
Все партнёрки рано или поздно начинают шейпить трафик, поскольку бабки платит клиент, а он начинает капризничать: конверсия нулевая, продаж нет, трафик дорогой, а вот у этих - дешевле... Только конечный потребитель может определить уровень конверсии трафика -> его реальную стоимость.
Всё "по чесноку" может быть только в одно случае - ты делаешь доры, ты владелец партнерки, и ты - заказчик трафика.
Сейчас работает рыночная экономика: базар большой, походи, поищи дешевле. А ты предлагаешь сделать монополию, то есть, посадить ФАС на хвост всем дорвейщикам.
