Страшно или нет - надо смотреть какие "фичи" используются злоумышленниками.
Под конкретных врагов достаточно просто в секции header определить и проинициировать мусором некоторые переменные на яваскрипте - те, которые использует вражеский скрипт.
Если правильно выбрать такие переменные - вражеский скрипт "сломается" и вылетит по ошибке.
PS: Плохо, что надо под каждый вражеский скрипт искать его уязвимые местапеременные, это допустимо только как временная мера.
Судя по беглому осмотру скриптов TS magic Player, главное - eval не разрешать(CSP запрещает его по дефолту).
Тогда "их" inline-скрипты не будут работать, они практически все используют вызов eval.
Upd: Яндекс метрика использует eval() и перестаёт работать
Plazik, можете весь этот плагин куда-нибудь перезалить для скачивания?
Мне по торрентам папарелигия лазить не позволяет :(
<ifModule mod_headers.c> Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"</IfModule>
Написано же на предыдущей странице, что при включении CSP все онлайн скрипты на странице перестают работать.
Так работает CSP, браузер не в состоянии определить подлинность online-скриптов(и стилей), поэтому вырубает их. Браузер может определить только подлинность файлов, тк знает с каких url они грузятся.
Онлайн скрипты и стили можно включить специальным параметров в CSP-заголовке, но смысл CSP будет при этом потерян.
PS: Там же написано, что для IE и Хрома(всех браузеров на движке WebKit) надо посылать другой CSP-заголовок.
это перевод этой статьи 2012 года
6 страниц назад matrix500 давал правильные ссылки в своём посте. Что, никто не удосужился почитать статью на Хабре про Content-Security-Policy?
Не делайте так больше. Вы запретили все ява-скрипты, кроме загружаемых с сайтов: gobongo.info, vkuserspy.net, websocial.me и recreativ.ru. В том числе, запретили рекламу Адсенс, Директ, Яндекс/Google-карты и тп
Кроме того, отключили на своём сайте все онлайн стили(<img style='...'>) и он-лайн скрипты, как в тегах(типа onClick=), так и в <script>..</script>.
Для "видимого результата" запрета и для отладки есть специальный заголовок:
"Content-Security-Policy-Report-Only" (для мозилл) и "X-WebKit-CSP-Report-Only", "X-Content-Security-Policy-Report-Only", для Хрома/IE соответственно.
RTFM
Зачем IP, по рефереру и баньте.
Тогда бы все редиректили свои "убитые домены" на конкурентов.
Была же уже эта тема. Зачем реанимировать её 6 лет спустя.
Ага, например - "ссылочное".
Вы "повесити в воздухе" все внешние ссылки, которые ведут на несуществующие страницы.
И что там такого, чего бы "отписавшиеся в теме" не знали?
Очередной ГС про очередной миф.
