Ladycharm

5 минут "пад сталом" валялась. Спасибо :)

А тут, на взрослом форуме, Zevaka1 после своего второго сообщения у меня в игнор-лист попал, чтобы его ахинею не видеть.

1. От этого спасает повторная перекрестная проверка - выставить этот же сайт на оценку другим.

2. Поработав в Толоке, этот Вася Пупкин(молодёжь) начнёт пользоваться сервисами Яндекса.

Обратите внимание, в форуме ссылки на картинки не на Яндекс-диск, а на сервис от Gооgle.

Нет, я не ведусь на инфокурсы, даже если они от Андрея Камчеса(при всём искреннем уважении к нему). Постом выше ответила "откуда дровишки".

Этого у Камчеса не отнять, мыслит он широко и не шаблонно.

В плане исследования некоторых "слабостей" публики соцсетей - курс определённо имеет ценность.

Имхо, заработать на этом - вполне реально, "стату" в этом топике, Камчес показывал не липовую.

Вот только заниматься подобным - "внутренняя религия" не позволит далеко не каждому.

Mish-ka, второе сообщение прицепилось не моё.

Это надо у купивших курс спрашивать.

Мне слили информацию по программе первых 4-х занятий, мне - всё понятно.

PS: в личку писать не надо, это чужая интеллектуальная собственность, не смотря на мой негативное отношение к её содержанию.

Да нет, как раз основная суть была раскрыта на первом занятии.

Дальше можно на уроки уже не ходить и требовать MoneyBack.

original-url присылают 0.2% браузеров, и что имеют ввиду - ХБЗ, тк стандартом CSP 1.0 это поде не предусмотрено. Поэтому забей на original-url.

"сами скрипты AdSense"(вместе с картами Google) - это:

*.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net по http и https в секциях:

script-src

frame-src

и *.googleapis.com *.gstatic.com по http и https (+ data://* для всех) в секциях:

style-src

font-src

Если хочешь, чтобы страницу можно было перевести переводчиком Googe - нужно translate.googleapis.com по http и https в секции:

connect-src 'self'

Всё, больше для работы Адсенса ничего не требуется.

Классная идея проверки эффективности CSP, лови плюшку.

Надо поковырять что-нибудь типа скрипта html2canvas.

У этих ребят могут только вставлять свои скрипты в контент сайта. CSP это успешно режет.

После этого поста уже ничего не делает.

Редирект на Яндекс - снят, вредоносные ифреймы с url yandex.sc/v4/ci.iframe.html - больше не загружаются.

А ещё пару недель назад - вставлял рекламу на страницы и сливал трафик через luxup.ru(походу на medianet.adlabs.ru) и другие партнёрки через CrazyTDS nsdnspro.com

---------- Добавлено 06.11.2014 в 17:18 ----------

Адсенс не ругается, поскольку не имеет никакого отношения к этим доменам.

А то, что домен, загружающий malware назван googleads.g.4zw.pw - сами подумайте зачем, и не ведитесь больше.

Разве что только у вас на сайте принимается оплата WM. Или лазите по сайту браузером с плагином WM Advisor.

"За WM" - ничо не скажу, я с ними не работаю в принципе, и они не разрешены в CSP.

Настраивать ничего не надо, это обязательное поле по RFC(ссылку давала выше), его шлют все браузеры и роботы, которые оснащены браузерами. Наврала, ЮзерАгент должен быть в $_SERVER['HTTP_USER_AGENT'], в самих отчётах CSP его нет.

"original-uri" посылает какой-то недобраузер, он даже свой ЮзерАгент не ставит. Просто игнорируйте такие отчёты.

У меня по статистике CSP таких всего 9 на 3900 нормальных.

CSP надо выкладывать в читабельном виде, иначе в нём ничего не видно:

default-src 'self' *.мой сайт;

script-src 'self' 'unsafe-inline' 'unsafe-eval'
   *.мой сайт *.4zw.pw advapi.ru *.actionpay.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com
   http://code.jquery.com *.ytimg.com http://*.whisla.com http://*.republer.com *.appsaddons.com http://*.revsci.net
   https://*.revsci.net http://www.promo.r-money.ru https://dl.dropboxusercontent.com https://merchant.roboxchange.com
   http://www.wolframalpha.com http://wolframalpha.com http://userapi.com *.webmoney.ru
   *.yandex.ru *.yandex.net https://*.yandex.net https://*.yandex.ru https://yastatic.net
   http://*.siteheart.com https://*.siteheart.com *.adriver.ru
   https://*.googleapis.com https://*.google.com http://*.google.com.ua *.google.com *.gstatic.com
   https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com
   https://*.googlesyndication.com *.googleapis.com *.doubleclick.net
   http://w.uptolike.com *.kavanga.ru http://recreativ.ru http://vk.com https://vk.com http://kavanga.sibnet.ru;

object-src 'self' http://*.ytimg.com r-money.ru *.macromedia.com *.adobe.com https://*.adobe.com
   *.adriver.ru https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com
   http://alpari.ru http://www.alpari.ru *.kavanga.ru kavanga.sibnet.ru;

style-src 'self' 'unsafe-inline' *.мой сайт *.amazonaws.com *.googleapis.com https://* http://*.siteheart.com
   http://recreativ.ru http://netdna.bootstrapcdn.com;

img-src * *.whisla.com *.revsci.net data: *.мой сайт *;

media-src 'self' * mediastream: *;

frame-src 'self' 'unsafe-eval' http://*.мой сайт.ru https://video.yandex.ru https://c.mscimg.com
  *.qservz.com *.4zw.pw *.intencysrv.com *.etgdta.com blocking.stat *.yahoo.com *.hubrus.com
  https://money.yandex.ru https://yandex.ru *.siteheart.com https://*.siteheart.com
  *.webmoney.ru *.yandex.ru *.yandex.net http://wolframalpha.com http://www.wolframalpha.com
  http://vk.com https://vk.com https://*.vk.com http://www.youtube.com https://www.youtube.com
  *.adriver.ru http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net
  http://w.uptolike.com https://*.google.com http://*.google.com *.facebook.com *.datamind.ru
  http://www.google.com.ua *.rutarget.ru *.kavanga.ru *.revsci.net *.republer.com;

font-src 'self' *.мой сайт.ru *;

connect-src 'self' https://static.siteheart.com ws://client.siteheart.com
  http://w.uptolike.com https://www.youtube.com http://www.alpari.ru https://translate.googleapis.com
  http://mc.yandex.ru *.googlevideo.com https://*.gstatic.com;

report-uri http://www.мой сайт.ru/csp.php"

А так - сразу видно сколько там мусора.

Можете сказать, зачем вы открыли всякую чешую типа https://c.mscimg.com, *.qservz.com и *.4zw.pw ?

А *.webmoney.ru ? Они, что вставляют свои скрипты на вашу страницу без вашего ведома?

Вы там точно CSP настраиваете? original-uri не бывает, вот что согласно RFC может быть в отчётах CSP:

 {
  "csp-report": {
    "document-uri": "http://example.org/page.html",
    "referrer": "http://evil.example.com/haxor.html",
    "blocked-uri": "http://evil.example.com/image.png",
    "violated-directive": "default-src 'self'",
    "original-policy": "default-src 'self'; report-uri http://example.org/csp-report.cgi"
  }
}

Если под original-uri вы имеете ввиду document-uri, то судя по вашим цитатам ниже - Вы владелец youtube.com и googleads.g.doubleclick.net, потому, что в document-uri могут быть url только ваших сайтов:

"Невалидка" из 192.168.0.0 - 192.168.255.255, 172.16.0.0 - 172.31.255.255 и 10.0.0.0 - 10.255.255.255 в blocked-uri встречается, скорее всего это криворукие клепальщики плагинов недоглядели.

Url-ов рекламодателей в blocked-uri не бывает, тк переходы по внешним ссылкам CSP не запрещает.

Чего именно снимать? Директ - тянет за собой метрику, кнопки "share" - тоже, информеры погоды Яндекса - с сегодняшнего дня тоже работают с метрикой.

Яндекс-карты - надо посмотреть, но что-то мне подсказывает...

Любой сервис от Яндекса - это Метрика. Не удивлюсь, что даже в значок ТИЦа встроили метрику :)