- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день! После перехода на https какие параметры лучше установить в csp? На сайте установлена rtb реклама и часто встречаются картинки по протоколу http. Логично установить upgrade-insecure-requests. Или лучше отлавливать http домены и добавлять их в исключения одновременно с block-all-mixed-content ? Спасибо.
В старую тему по CSP уже нельзя добавить сообщения...
После перехода на https я вообще убрал CSP, т.к. устанавливал его в основном для борьбы с "левой" рекламой. Теперь таковой и так нет, а также нет затруднений с поддержанием актуального списка доменов рекламодателей.
А вы с какой целью CSP использовать хотите?
Оптимизайка, думаете на HTTPS нет смысла устанавливать CSP? Я после переезда его оставил, может тоже стоит убрать? В отчетах встречаются до сих пор разные сайты, влияния которых не хотелось бы испытывать на себе...
При https не нужен при CSP.
CSP это полумера была т.к. по сути кто может проксировать трафик, тот просто добавляет свой CSP куда надо. Как пример мобильные провайдеры.
Когда в каком-либо рекламном коде есть картинка по протоколу http, и параметр block-all-mixed-content не установлен, хром убирает замочек возле адресной строки и пишет, что сайт не защищён, так на странице присутствует смешанный контент. По крайней мере так было где-то пол года назад.
Если блокировать смешанный контент, то получается, что показ рекламы по http не будет учтен. Это мои предположения. Поэтому видимо лучше установить upgrade-insecure-requests.
Просто хотелось услышать чей-либо опыт в данном вопросе.
Допустим у вас есть сайт, на котором вы показываете рекламу пользователям и честно зарабатываете деньги. И всё идёт хорошо, пока к вам не начнут ходит пользователи с заражёнными браузерами. Заражённый браузер будет подменять рекламу на вашем сайте на свою и показывать её пользователю. Как следствие — пессимизация со стороны поисковиков и падение дохода. Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.
По сути Content Security Policy — это заголовок, который сервер отправляет браузеру. CSP лучше всего использовать в качестве углубленной защиты.
ezon, для этого я как раз и устанавливал CSP несколько лет назад, но выше пишут, что на HTTPS можно обойтись.
Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?
Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?
Могут. Но они и CSP правила тоже могут менять ☝
Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.
"Зараженные браузеры" в твоей страшилке плевать хотели и на CSP и на всё другое.
По моему опыту от CSP больше геморроя, чем пользы. Я активно внедрял CSP после того, как мне дважды ломали один из трафиковых сайтов и подключали JS-клоаку для слива мобильного трафика, а я месяц не мог найти дыру, через которую эти гады ходили, и настроил CSP, чтобы хотя бы Google с Яшей в поиске не банили. В конце-концов нашел (кривой устаревший модуль для WP), однако паранойя не давала отказаться от CSP.
Но на информационном сайте, который монетизируется тем же AdSense, РСЯ, товарными виждетами или тизерами часто возникает ситуация, что рекламная сеть подключает новый скрипт или CDN с картинками, а CSP дает им грузится и в итоге это приводит к снижению дохода. А мониторить это в логе ошибок CSP никакого времени не хватит.