Настройка CSP - Content Security Policy

Присоединяюсь к вопросу avantus

Тоже есть такое в репортах.

И вот ещё один репорт что означает:

"blocked-uri":"chromenull://"

"source-file":"http://сайт.ru/категория/статья.html"

"line-number":19

Кстати после настройки csp такие результаты по Li

По графику видно падение 20 августа - это к нам пришёл фильтр, а 30 вечером запустил csp в рабочем режиме.

По метрике исчезли переходы на маркетгид, было за последний месяц:

После запуска csp с 31 августа:

Всем спасибо за тему!

Написал в Яндекс про настройки CSP, получил ответ:

Вы имеете ввиду вот это:

http://lists.w3.org/Archives/Public/public-webappsec/2013Apr/0097.html ?

Т.е. предпринимается попытка обойти CSP?

Я так понимаю, что в текстовые отчеты в папке CSP попадают не все домены, которые нужно смотреть?

Нужно еще смотреть на имена файликов, появляющихся в этой папке. Правильно?

Люди добрые, помогите с настройкой. Под wordpress плагины есть?

На сайте рекламы нет вообще, но есть переходы на f.ad-tizer.net/popunder.php?cpid=13011 Как это возможно?

А нужно ли вообще этим заморачиваться?))

Собственно роботы Яндекса прекрасно понимают, что такие переходы из-за проблем на компах пользователей, а не на сайте и никаких штрафных санкций не накладывают.

Да даже, если посмотреть стату ЛИ у посещаемых сайтов (где она открыта) полно подобных переходов и они от этого никак не страдают!

Конечно, как минимум, это положительно сказывается на безопасности сервиса и лояльности пользователей, даже если Яндекс щас и не накладывает санкции из-за подобных переходов.

С разрешения уважаемого сообщества, повторю свой вопрос:

На что ориентироваться при настройке ЦСП? На текстовые файлы отчетов в папке CSP, или на файлики с названиями доменов, которые появляются в той же папке?

Сегодня на одном сайте запустил ЦСП в рабочем режиме. Поглядим что будет. Обычно там в сутки 2-6 переходов на непонятные домены. Из рекламы висит Адсенс, одна товарная тизерка тематическая, и РТБ от ADLABS Networks .

Кому надо в 1 файле: http://yourcommentit.ru/modulCSP.rar

Инструкция:

1. Копируем все папки и файлы в корень сайта

2. На папку csp права на запись 777

3. в файле .htaccess пишем:

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src *;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st ;report-uri /csp.php"

</IfModule>

-------------------------------

И теперь ответ на ваш вопрос: Что это вообще такое?!

Весь код нужно вставлять в 1 строчку, но для удобства понимая я разобью его и распишу, что и как. Этими строчками мы браузеру даём понять, что ему можно, а что нельзя.

Header set Content-Security-Policy - Устанавливает сам запрос

"default-src 'self'; - Все ресурсы (по-умолчанию) мы разрешаем со своего сайта, 'self' = наш текущий домен

style-src 'unsafe-inline' *; - CSS файлы пусть грузятся любые внешние и внутренние и всё что между <style></style>

img-src * data:; - Картинки мы размещаем грузить откуда угодно, всякие счётчики, иконки и т.п.

media-src *; - Видео файлы и аудио мы размещаем грузить откуда угодно, mp4 файлы в плеерах и т.п.

font-src *; - Шрифты разрешаем все

frame-src *; - встраивать iframe могут все, ибо это очень любят тизерки

Теперь самое интересное, JavaScript!

В примере написано:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st

Этим мы РАЗМЕШАЕМ:

1. 'self' - сами себе разрешаем

2. 'unsafe-inline' и 'unsafe-eval' - разрешаем выполнять скрипты внутри страниц нашего сайта т.е., что будет в <script>Ява код</script>

3. далее указаны через пробел домены с которых разрешено грузить JS скрипты. Тут обязательно должен быть домен от WAP партнёрки с которого грузится JS. Далее перечисляются все хосты от тизерок и других парнёрок.

report-uri /csp.php" - Это кто будет обрабатывать отчёты об ошибках. У нас есть два файла csp.php = полные отчёты о срабатывание и csp2.php = Урезанный, которые показывает только урлы, которые заблокировали и ещё часть техническую. Все файлы складываются в папку /csp/ и там хранятся.

По началу достаточно /csp.php, чтобы проверять всё ли нужное разрешено, смотреть логи не забанено ли что-то лишнее и т.п. Потом можно переключить на csp2.php чисто для фана посмотреть сколько урлов ломиться к вам. Или потом вообще убрать эту строчку report-uri /csp2.php

Вот и всё.

Более подробное расписание, что и как и дополнительно тут: http://zabolotskikh.com/tips/content-security-policy/

Nostromo80

ориентироваться на отчеты, которые собираются в текстовых файлах!

---------- Добавлено 03.09.2015 в 23:44 ----------

судя по инфе /ru/forum/908558 Google за наличие таких редиректов уже блокирует