Просто у вас никогда не было коммерческого трафика. С 500 посетителей на контексте в лучшие времена получалось 30-40 тыс руб в месяц.
Адблок (и все другие плагины) работают на внутренней вкладке (странице) браузера, на неё ваша CSP не действует, так же как она не действует и на остальные вкладки браузера. CSP может заблокировать только то, что на вашей странице, но туда Адблок ничего не вставляет.
Для Адблока действует его собственная CSP, которая прописана в его манифесте (для Хрома).
А вот вредоносные плагины подмены рекламы вынуждены вставлять её на ваши страницы, поэтому их можно заблокировать.
PS: В старых версиях Хрома - Адблок можно было заблокировать и без CSP. Но, увы, Хром обновляется автоматически.
Можно. Только надо иметь ввиду, что некоторые пока мало используемые директивы типа: plugin-types, form-action и sandbox не инициируются из default-src.
Да, они не нужны, но можете их и оставить, эти домены вряд ли будут распространять заразу.
Домен PNGME.RU created: 2015.09.06, свеженький -> однозначно гадость. Появляется не только у вас, и в разных видах:
Скрипт реагирует только на некоторые мобильные устройства и в параметрах собирает следующие данные:
pngme.ru/seter?r=&ref_js=http%3A%2F%2Foneline.tv%2Fspletnica-7-sezon-smotret-online.html&s=1176*885&wo=false&title=Сплетница%207%20сезон%20смотреть%20онлайн%20в%20хорошем%20качестве%20бесплатно
и садит куки Cookie: jynytofupyriny и redomyfa
Судя по всему скрипт будет сливать ваших мобильных посетителей.
webmaster domainer, если отдавать несколько заголовков Content-Security-Policy - броузер их не суммирует и отрабатывает только последний из них. То есть, в вашем случае, будет работать только заголовок Header set Content-Security-Policy "style-src 'self' 'unsafe-inline' *.twitter.com https://*.twitter.com;"
Надо делать всё в одном Header set Content-Security-Policy "..."
CSP для виджетов и кнопок Твитетра:
По поводу ошибок:
- домен connect.facebook.net надо добавить в connect-src (у вас используются виджеты фэйсбука 2-х типов, и, тот, который HTML5 - использует connect)
- алерт(про default-src) можно проигнорировать, это просто предупреждение о бессмысленности использования Content-Security-Policy-Report-Only при неуказанном report-uri - "они" не понимают, что блокировки можно посмотреть в консоли браузера :)
Если добавить report-uri - этого алерта не будет, после перевода CSP в боевой режим (Content-Security-Policy) - его не будет тоже.
Правильнее всего заголовки выдавать движком сайта на PHP. Можно проверять UserAgent и:
- не отдавать CSP "проблемным" браузерам
- давать другую CSP для мобильных устройств
- давать другой заголовок («X-WebKit-CSP» или «X-Content-Security-Policy»)
Удобно вносить исправления и можно проводить различные эксперименты.
В .htaccess очень неудобно вносить правки и любая ошибка в .htaccess -> ошибка сервера 502.
htaccess-а не бывает на серверах под nginx, плюс, некоторые хостеры не позволяют рулить заголовками через htaccess.
Поэтому, для WordPressa - перспективнее вставлять в header.php, но, иметь ввиду, что при смене темы он перезапишется на новый.
PS: Gwendi, прочитайте личку!
Тысяча запросов на 18 страницах сайта? Ну-Ну...
Во-первых, у вас запросы: "окна", "двери", "лестницы", "мебель".
Во-вторых, проверьте в вебмастере присвоен ли сайту регион Тула
В-третьих, отзывы на сайте - фейковые(см картинку ниже), и такие уже есть на других сайтах (например на ОкнахКомфорта).
Для Яндекса разницы нет, он отавливает весь этот фен-шуй от Гогетлинкс. Но в ГГЛ потом очень дорого снимать ссылки и очень муторно, поэтому для оптимизатора, да - разница есть.
Приклеивание своего домена на чужой требует действий только от вас, вторая сторона никак не может помешать этому, и даже не узнает. Поэтому ПС не могут передавать санкции по редиректу, по крайней мере, когда контент на обеих доменах абсолютно разный.
