Настройка CSP - Content Security Policy - Страница 11 - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 07.12.2014, 20:56   #101
Babuta
Студент
 
Регистрация: 27.05.2014
Сообщений: 8
Репутация: 10

По умолчанию Re: Настройка CSP - Content Security Policy

Метрика выдает такие заголовки:
Цитата:
Код статуса HTTP: "200 OK"
Server: nginx
Date: Sun, 07 Dec 2014 16:13:17 GMT
Content-Type: text/html
Content-Length: 26776
Connection: keep-alive
X-Powered-By: PHP/5.3.10-1ubuntu3.13
Set-Cookie: 804dd2c8c2a3f309c320e1cfbf3d2e0d=25hajctses12pdm6a1pnd1moj2; path=/
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
ETag: 54bb123e628dfb7036065d8971f20e0f
Cache-Control: no-cache
Pragma: no-cache
Vary: Accept-Encoding
Content-Encoding: gzip
На сайте установлено:
Яндекс-Метрика, Google-Аналитика, счётчики, кнопки соцсетей, Adsense, видео с Youtube

Сегодня переделал настройку csp в .htaccess, взяв за основу сообщение Ladycharm, пост #95 данной темы.

Переходы не прекратились, но их стало меньше. Сами переходы смотрю через статистику от Live Internet, "переходы на сайты".

Последний раз редактировалось Babuta; 07.12.2014 в 21:17..
Babuta вне форума   Ответить с цитированием

Реклама
Старый 07.12.2014, 21:45   #102
Ladycharm
Академик
 
Регистрация: 07.12.2007
Сообщений: 4,145
Репутация: 1064382

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от Babuta Посмотреть сообщение
Метрика выдает такие заголовки:
. . . .
Переходы не прекратились, но их стало меньше. Сами переходы смотрю через статистику от Live Internet, "переходы на сайты".
Странно, что их стало меньше - ваш сайт не отдаёт заголовков CSP.
Зайдите на http://rexswain.com/httpview.html и введите в поле URL http://ya.ru, после нажатия на submit увидите:
Цитата:
Receiving Header:
HTTP/1.1·200·Ok(CR)(LF)
Server:·nginx(CR)(LF)
Date:·Sun,·07·Dec·2014·18:43:53·GMT(CR)(LF)
Content-Type:·text/html;·charset=UTF-8(CR)(LF)
Content-Length:·39180(CR)(LF)
Connection:·close(CR)(LF)
Cache-Control:·no-cache,no-store,max-age=0,must-revalidate(CR)(LF)
Expires:·Sun,·07·Dec·2014·18:43:53·GMT(CR)(LF)
Last-Modified:·Sun,·07·Dec·2014·18:43:53·GMT(CR)(LF)
Content-Security-Policy:·default-src·'self'·'unsafe-inline'·'unsafe-eval'·wss://portal-xiva.yandex.net·*.yandex.ru·yandex.ru·*.yandex.net·https://*.yandex.ru·https://yandex.r...7&h=a1;(CR)(LF)
P3P:·policyref="/w3c/p3p.xml",·CP="NON·DSP·ADM·DEV·PSD·IVDo·OUR·IND·STP·PHY·PRE·NAV·UNI"(CR)(LF)
Set-Cookie:·yandexuid=6600941311417977833;·Expires=Wed,·04-Dec-2024·18:43:53·GMT;·Domain=.ya.ru;·Path=/(CR)(LF)
X-Frame-Options:·DENY(CR)(LF)
X-XRDS-Location:·http://openid.yandex.ru/server_xrds/(CR)(LF)
Видно, что ya.ru отдаёт CSP-заголовки

Цитата:
Сообщение от Babuta Посмотреть сообщение
На сайте установлено:
Яндекс-Метрика, Google-Аналитика, счётчики, кнопки соцсетей, Adsense, видео с Youtube

Сегодня переделал настройку csp в .htaccess, взяв за основу сообщение Ladycharm, пост #95 данной темы.
CSP из того поста будет резать Google-Аналитику, счётчики и кнопки соцсетей. Её надо допилить под вас. Для этого надо знать какие именно счётчики(походу -Li.ru) используются, и какие кнопки соцсетей - share.js от Яндекса?

И, добиться, чтобы ваш сайт отдавал CSP-заголовки (смотреть их можно по rexswain.com выше). Тогда их можно будет довести до ума.
Ladycharm вне форума   Ответить с цитированием
Сказали спасибо:
Старый 08.12.2014, 19:35   #103
fake_user
Аспирант
 
Аватар для fake_user
 
Регистрация: 24.02.2014
Адрес: Fiji
Сообщений: 247
Репутация: 69849

По умолчанию Re: Настройка CSP - Content Security Policy

Отдельное спасибо Ladycharm за ценную инфу в топике (и труды по чистке своей CSP для общего использования).

А вообще, всё равно ведь лезут. jquerys и musicalert-ы сошли на нет, а всякие новоявленные toolb.eu, obnovlenie.eu, sustema.eu проскакивают, пусть и очень небольшой процент (если сравнивать с тем, когда я о CSP не слышал, но наблюдал по полторы тыщи переходов на Websocial несколько месяцев назад).
fake_user вне форума   Ответить с цитированием
Старый 16.12.2014, 17:53   #104
ctit
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

ТопикСтартер Re: Настройка CSP - Content Security Policy

На мой взгляд, рекламные сети должны уже официально информировать о настройках CSP для своего кода
ctit вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 16.12.2014, 20:15   #105
Ladycharm
Академик
 
Регистрация: 07.12.2007
Сообщений: 4,145
Репутация: 1064382

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от ctit Посмотреть сообщение
На мой взгляд, рекламные сети должны уже официально информировать о настройках CSP для своего кода
Ну, Яндекс - субботники по CSP устраивает, умный дядечка из Google (Adam Barth, редактор http://www.w3.org/TR/CSP/) на ютубе выступает с лекциями про CSP.

А на деле:
Ролики ютуба вставляются на сайт в iframe, и заголовки CSP для iframe должен отправлять youtube (это же другая страница с другого домена).
И ютуб не отправляет нужные заголовки CSP.

Объявления Адсенса - так же вставляются в iframe... и, естественно, Google не отправляет нужные заголовки CSP для адсенсовских ифреймов.

А мы не можем давать заголовки CSP для чужих ифреймов, поэтому содержимое iframe совершенно беззащитно. Яваскриптом там можно делать что угодно, кроме смены scr=''(которое мы имеем возможность контролировать по CSP).

Такое ощущение, что мужикиредакторы CSP из w3c - диванные теоретикисовершенно оторваны от реальности, и выдумывают правила CSP, которые на деле не позволяют ничем управлять.
Им бы дать лопаты в рукипо сайту каждому - пусть попробуют на практике применить то, что они уже 4-й год разрабатывают!

Уже исследования проводятся на тему почему провалился проект CSP?(осторожно, английский)

Последний раз редактировалось Ladycharm; 16.12.2014 в 20:28..
Ladycharm вне форума   Ответить с цитированием
Сказали спасибо:
Старый 23.12.2014, 16:07   #106
Dram
Академик
 
Регистрация: 28.06.2008
Сообщений: 5,328
Репутация: 300509

По умолчанию Re: Настройка CSP - Content Security Policy

Два раза за ноябрь/декабрь попадал под фильтр. Первый раз продлилось неделю, написал Платонам, они стандартно отписались что с сайтом все ок и он через неделю востановил трафик.
Но не долго песенка играла, прошло 2 недели и опять падение. Платоны 1 раз опять ответили что все ок, потом что проверят, на 2 письма вообще не ответили.

Левых переходов у меня было много, сегодня прописал вот что

Цитата:
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' script-src 'self' 'unsafe-inline' 'unsafe-eval' http://МОЙ САЙТ http://counter.rambler.ru my2.imgsmail.ru www.gstatic.com yandex.st an.yandex.ru pagead2.googlesyndication.com www.youtube.com vk.com cdn.connect.mail.ru *.gstatic.com mc.yandex.ru www.google-analytics.com https://www.google-analytics.com object-src 'self' www.gstatic.com style-src 'self' 'unsafe-inline' img-src 'self' data: 0.gravatar.com http://0.gravatar.com/ 1.gravatar.com http://1.gravatar.com/ an.yandex.ru/count http://an.yandex.ru/count/ favicon.yandex.net http://favicon.yandex.net avatars-fast.yandex.net http://avatars-fast.yandex.net/ vk.com yastatic.net counter.rambler.ru top-fwz1.mail.ru www.liveinternet.ru counter.yadro.ru mc.yandex.ru www.google-analytics.com https://www.google-analytics.com media-src 'self' frame-src 'self' yastatic.net http://yastatic.net/ connect.mail.ru an.yandex.ru www.youtube.com googleads.g.doubleclick.net vk.com userapi.com site.yandex.net yastatic.net https://yastatic.net http://site.yandex.net https://site.yandex.net *.gstatic.com https://vk.com font-src 'self' fonts.googleapis.com connect-src 'self' mc.yandex.ru *.gstatic.com"
</IfModule>
работает реклама гугла, ЛИ, метриа, все соц кнопки и виджеты ВК.
левые переходы прекратились.

CTR и Доход с гугла немного подрос, по сравнению со вчерашним днем. Наблюдаю дальше, надеюсь поможет.
Изображения
     
Dram вне форума   Ответить с цитированием
Старый 24.12.2014, 22:31   #107
Ladycharm
Академик
 
Регистрация: 07.12.2007
Сообщений: 4,145
Репутация: 1064382

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от Dram Посмотреть сообщение
работает реклама гугла, ЛИ, метриа, все соц кнопки и виджеты ВК.
соц кнопки от кого? Яндексовский share.js или mail.ru-шные? РСЯ/Директа на сайте нет?

Вообще, "Списывать - не хорошо", а "списывать CSP" - надо с умом и только из правильного источника.


1). Вот вы открыли my2.imgsmail.ru в директиве script-stc, а это CDN mail.ru, с него грузятся не только скрипты, но и картинки.
И у этого CDN - много серверов: my1.imgsmail.ru, my3.imgsmail.ru, ..., my10.imgsmail.ru, а вы открыли только один из них.
Например, иконка доступна на всех серверах:
http://my8.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png
http://my3.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png
http://my5.imgsmail.ru/mail/ru/images/my/compass/static/login/bg_container.png


2). Ваша CSP ничего не блокирует, никакие "гобонго" и тп, потому, что у неё некорректный синтаксис.
Директивы script-src/img-src/connect-src/... должны отделяться друг от друга ; (SEMICOLON). Вот кусок вашей CSP:
Цитата:
... font-src 'self' fonts.googleapis.com connect-src 'self' mc.yandex.ru *.gstatic.com
а вот как он должен выглядеть:
Цитата:
... font-src 'self' fonts.googleapis.com; connect-src 'self' mc.yandex.ru *.gstatic.com

PS: И это - к счастью для вас, что CSP ничего не блокирует - с такой CSP вы бы сразу не досчитались дохода на Адсенсе.

Последний раз редактировалось Ladycharm; 25.12.2014 в 01:01..
Ladycharm вне форума   Ответить с цитированием
Сказали спасибо:
Старый 25.12.2014, 11:19   #108
Dram
Академик
 
Регистрация: 28.06.2008
Сообщений: 5,328
Репутация: 300509

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от Ladycharm Посмотреть сообщение
Ваша CSP ничего не блокирует, никакие "гобонго" и тп, потому, что у неё некорректный синтаксис.
Судят по статистике LI все работало, левые переходы прекратились, но все равно спасибо, ошибку исправил.

РСЯ/Директа нет, кнопки работают Яндексовские share.js
Dram вне форума   Ответить с цитированием
Старый 26.12.2014, 15:03   #109
ctit
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

ТопикСтартер Re: Настройка CSP - Content Security Policy

К вопросу о нестандартных заголовках original-uri.
Все отчеты ими просто забиты. Причем блокировка идет из AdSense и рекламной сети adriver.

Блокируются локальные адреса, типа blocked-uri:http://192.168.65.31.

Чувствую, теряю деньги...

P.S. Разобрался. Блокируются даже из собственных локальных js.
Браузер преимущественно Mozilla/5.0 (Windows NT 5.1; rv:24.0) Gecko/20100101 Firefox/24.0
ctit вне форума   Ответить с цитированием
Старый 28.12.2014, 15:04   #110
kravietz
Абитуриент
 
Регистрация: 28.12.2014
Сообщений: 2
Репутация: 10

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от Ladycharm Посмотреть сообщение
А мы не можем давать заголовки CSP для чужих ифреймов, поэтому содержимое iframe совершенно беззащитно.
Это не совсем так - именно для этого и придуман атрибут sandbox в таге iframe. Он ограничивает возможности ифрейма и создан именно для ограничения риска со стороны чужого кода.
kravietz вне форума   Ответить с цитированием
Сказали спасибо:
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 02:57. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны