Search by WMSN

Небольшая инструкция по настройке CSP на сайтах: cloud.mail.ru

Answers:

Будет время, попробую. Отпишусь. Думаю у меня на СДЛ с 1к хостов какашек будет много.

one, рекомендую не затягивать, так как некоторые вредоносные расширения в браузерах пользователей полностью заменяют твою рекламу на бредовые тизеры и к тому же, генерируют много переходов на «левые» ресурсы с твоего сайта, что совсем не повышает трастовость ресурса в глазах ПС.

Роман Питерский, ок, уговорил. Делаю.

Роман Питерский, как понять это предложение. Что за секция? Для этого вызываем консоль (по нажатию F12 в Google Chrome и Mozilla Firefox) и прописываем заблокированный ресурс в нужную секцию.

one, например, в консоли пишет, что заблокировано отображение такого-то элемента (картинки/скрипта) с такого-то ресурса и в этой же строке пишет, в какой именно секции этот элемент заблокирован (например, в object-src или script-src или frame-src или в другой). В указанную секцию в .htaccess и прописываешь заблокированный ресурс, с которого не удалось загрузить какое-то содержимое.

Роман Питерский, а ну теперь понятно. Установил, ошибки нигде не сыпятся. Вроде правильно все, но пока тихо. Или не работает или у меня все с посетителями в порядке. Образованные засранцы. :D Подождем.

one, прописал боевой заголовок Header set Content-Security-Policy или тестовый Header set Content-Security-Policy-Report-Only ? Права на запись папки с отчетами выставил?

Роман Питерский, тестовый пока. Права да, проставил какие надо.

Кстати, с имитировать как то можно что бы не гадать работает или нет?

one, можно, поставь себе какое-то левое расширение или несколько в portable браузер и открой в нем свой сайт

one, типа поиск музыки по ВК или еще какую-нибудь похожую муть

Роман Питерский, хорошо, попробую по позже.

Хез, на виртуалке в мозиллу поставил пару дополнений ВК. что то нет никакой реакции. Не умею я #говно всякое ставить себе на комп. ))) Помогите установить на комп говно! ))) Кстати, а там у тебя что нападало, не видно что используется?

one, за последние пару часов нападало: adultubeus_info partners_cmptch_com estat-plugins_com p8tyh4llv8b86f_ru pu_nupiho_ru quick-s-v3_biz schbot_ru api_adsrun_net api_agstat_ru api_inafqjanby_ru c_am15_net dl_metabar_ru Вместо подчеркиваний ставь точку.

Роман Питерский, ок. Фик знает, мне ничего не падает. Мои посетители видимо чистюли, следят за собой. :)