frame-ancestors это из CSP level 2, его ещё браузеры не поддерживают.
И frame-ancestors - это аналог заголовка X-Frame-Options, им можно только разрешать открывать в фрейме перечисленным в нём доменам.
PS: Со стилями не получается, стили родительского документа не распространяются внутрь фрейма.
Использование вместо <iframe> тэга <object> от HTML5 тоже ничего не дало.
Можно попробовать стилями уводить страницу за пределы экрана (например, margin-left:-9999px), а в приложении для iframe это отменить так же стилями: body > iframe margin-left:0 !important;
Можно с селекторами CSS3 поиграться
Из всего вышеперечисленного, data:url использует Я.Метрика в картинках, вам достаточно открыть data: в img-src.
Крайне редко data:url может использоваться движком сайта в стилях и шрифтах - это сразу видно при заходе на сайт в консоли браузера (комбинация клавиш Ctrl + Shift + I) будет выскакивать ошибка Content Security Policy в стилях/шрифтах. Вот картинка как выглядит блокировка CSP в консоли Хрома.
Тогда откроете в style-src или font-src, где будет появляться блокировка.
В media-src data:url практически не используется - большие объёмы данных кодировать в base64 очень расточительно.
Да, data:url в script-src используют только злоумышленники, это помогает им обходить Адблок. Нормальным людям нет смысла скрывать свои яваскрипты, увеличивая их размер на 30% (накладные расходы от base64).
1. Вставьте на страницу:
<script src="data:text/javascript;base64,YWxlcnQoJ0hpLCBEaWdkdWcnKTsgd2luZG93LmxvY2F0aW9uLmhyZWY9J2h0dHA6Ly9tYWlsLnJ1Jzs="></script>
alert('Hi, Digdug'); window.location.href='http://mail.ru';
2. Вставьте на страницу
<img src="data:image/jpg;base64,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">
увидите картинку фотоаппарата
Схема data:URL работает как будто у тега указан реальный url: src='http://site.com', только данные браузер берёт из локальной строки в base64. Такое иногда используется для мелких картинок в стилях.
Только если ваш сайт(или что-либо легальное на нём) использует схему data:url. Открываете в той директиве, которая регулирует соответсвующий тэг:
img-src для картинок
script-src для скриптов
frame-scr для фреймов
font-src для шрифтов
и тп.
Слабое место Вордпресса - не сама админка, а плагины, ломают через них, и не сразу это заметишь.
Надо ставить скрипт, который по крону мониторит количество файлов и их размеры, и делает бэкапы. Тогда можно успеть во-время отреагировать и восстановить.
Даже Мавроди не смогли лишить единственного имеющегося у него места жительства - квартиры в пол миллиона долларов в центре Москвы
Это инлайн-данные по схеме data: URL из RFC 2397. Через схему data:URL можно вставлять на страницу: скрипты и любой html-код, документы Word/PDF/Excel, картинки, стили, шрифты (любые данные, которые может исполнить/показать браузер).
Вредоносные плагины внедряют таким образом свои яваскрипты на страницы.
CSP отчёты присылаются на report-uri моментально, далее уже всё зависит от вашего "ftp". Но должно быть тоже моментально.
В общем, такие глюки бывают, поскольку на сегодня ещё не все браузеры корректно поддерживают CSP.
Для однозначного ответа надо смотреть как часто это проявляется и на каких ЮзерАгентах.
Да, так надо указывать по стандарту CSP, а как делает Vodoleev: http://*.google-analytics.com https://*.google-analytics.com - это "по-жизни".
Дело в том, что мобильный Safari имеет баг в реализации CSP и не понимает домен, если протокол не указан в явном виде.
Поэтому у Vodoleev-а в отчётах не будет ошибок от мобильного Сафари.
Доход - увеличится, но не у вас, а у тех, кто использует данные с этого счётчика.
Тут один уже пугал Gogetlinks прокуратурой и приятелем-юристом по поводу отсутствия у ГГЛ реквизитов ООО. Пугал долго и упорно, с применением цитат из уголовного кодекса, даже стращал не по-детски, но потом слился.
Так, что они в GGL уже пуганые, второй раз не проканает.
С ним всё нормально, но его заблокировал Роскомнадзор
Он (Seo Ассенизатор) и есть ВМ, и он согласен снять бесплатно. Но PR.sape - не даёт, она хочет за это денег.
Фишка в том, что вебмастеру надо убрать ссылки чтобы вывести сайт из под АГС, оптимизатору тоже не нужны ссылки с сайта под АГС. А PR.sape занимается, по сути, вымогательством.
PS: Seo Ассенизатор, убирайте сайт из sape и снимайте ссылки. В этой жизни sape вам больше уже не потребуется, шлите её лесом..
