fortiguard-у надо быть аккуратнее со своими детекторами вирусов. Один раз облажаются - второй раз никто им не поверит.
Да и Яндекс может судебный иск выкатить.
"2-х недельный опыт" - это сильно!
1. Расширю горизонты вашего опыта: через тэг <object> грузится не только флэш, в HTML5 через object грузятся изображение, аудио, видео, ActiveX, PDF и Flash файлы. Можете посмотреть, что CSP в директиве object-src, например, вовсю блокирует картинки GIF/JPG/PNG.
2. В Хроме всё нормально проигрывается, даже flash-плеер ставить не надо. Сие легко проверяется на заблокированных в CSP url из object-src: SWF, ещё SWF, MP4.
Браузер Хром 45.0.2454.93 m, проблем с "проигрыванием" нет, если специально не убрать галочку на странице chrome://plugins/
Более того, Хром сам автоматически обновляет этот свой встроенный Adobe Flash Player.
3. Вот когда флэш умрёт, тогда и начнём похороны. А бежать впереди паровоза - плохая идея.
Отдельные личности, похоже, вообще не понимают как работает CSP и от чего на самом деле нужно защищаться.
Вау! А мужики-то из developer.chrome.com и не знают, что их Хром вытворяет!
Они наивно полагают, что для расширений хрома действует своя отдельная CSP, которую надо указывать для каждого расширения в его манифесте version 2!
И в "CSP для расширений Хрома" вообще отключен eval в принципе.
И почему же в новом манифесте V2 для расширений Хрома CSP по-дефолту установлена в script-src 'self'; object-src 'self'? Через object же ничего вредного не лезет?
Да, object-src * - это просто из серии "вредных советов". Статистика зафиксировала более 3900 доменов, которые работают через objrct-src, вот небольшой принтскрин из этого "мусора":
Если у вас возникает блокировка - добавляйте его в object-src, домен принадлежит Гугл. За 2 месяца такая блокировка в этой директиве возникла по паре раз на 2-х сайтах из 20-ти.
Эти "несколько раз" могли быть от старых браузеров, не полностью поддерживающих CSP, надо смотреть их ЮзерАгент.
Лучше прописать в них 'self' вместо 'none', некоторые версии Хрома имеют баг на эту тему.
1. Баньте ботов по мере их появления, смотрите их по логам. Банить надо по Юзерагенту и по IP. Эффективно банить IP хостингов прямо подсетями.
2. Twitterbot - полезный.
3. Если сайт не держит нагрузку от ботов, как думаете, дадут ли ПС на него большой трафик? Всё равно вы не сможете его принять...
Покупатель - не прав, арбитраж биржи Телдери - тоже.
Покупатель мог и должен был посмотреть всё сам, url сайта у него был до того, как он делал ставку.
PS: Если сайт - нормальный, попробуйте продать его тут на Серче в платном разделе. Телдери давно уже стало "кидаловом" и "разводиловом".
1. Блокировка сыпется в default-src если она возникает в директиве, которая явно не указана в вашей CSP (и её правила инициируются из default-src). Это "косяк" реализации CSP 1.1, его исправили в CSP level 2. Но браузеры на сегодня поддерживают только CSP 1.1.
В общем, ничего не упустили, 'self' только пропишите в начале каждой директивы.
Из "лишнего":
*.2mdn.net *.googlesyndication.com https://*.2mdn.net https://*.googlesyndication.com в директиве object-src
*.doubleclick.net https://*.doubleclick.net в директиве default-src
Хостер прописывает в .htaccess, сами вы не можете внести туда поправки?
На сайте есть:
- Я.Метрика
- РСЯ
- комментарии Вконтакте
- кнопки от uLogix
- sape-ссылки (судя по www.acint.net в CSP, палевно это в связи с последним АГС)
Что ещё из чужих картинок/фреймов/скриптов есть на сайте?
URL сайта можете показать в личку?
Что за плагин и в каком виде он требует заголовок?
Вот полный заголовок CSP "картинки отовсюду, остальное - только со своего сайта, eval в яваскриптах запрещён":
Если отдавать его на PHP, то заголовок будет выглядеть так:
header("Content-Security-Policy: default-src 'unsafe-inline' 'self' ваш_сайт *.ваш_сайт https://ваш_сайт https://*.ваш_сайт; img-src * data: https:;");
PS: Если сайт работает только по http:, то всё, что с https:// можно убрать.
