Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Ламерские вопросы » Как правильно прописать Content Security Policy в htaccess для DLE?

Как правильно прописать Content Security Policy в htaccess для DLE?


     18.11.2014    Content Security Policy, dle    Все вопросы » Ламерские вопросы    6642

вопрос
Тема для всех тех у кого в метрике показываются внешние переходы на левые сайты типа gobongo.info luxup.ru и многие другие. Это результат вредоносных программ которые интегрируются в браузеры пользователей и когда пользователи заходят на ваш сайт они видят на нем разного рода рекламу, баннера, тизеры, всплывающие окна, и.т.д.

Главный минус в том, что эти переходы учитывает яндекс, после чего относит ваш сайт к неблагонадежным, который показывает много плохой рекламы, после чего занижает результаты выдачи и ваш сайт в яндексе теряет посещаемость до 75% трафика (!)

Чтобы этого избежать нужно применить Content Security Policy - прописать запрет на внешние ссылки и скрипты в .htaccess

Я нашел код, выглядит он так

# Security improvements

Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"


но как адаптировать его для DLE я не знаю! Помогите кто знает!

Ответил: Webmaster


Попробуй добавить эту конструкцию в свой файл .htaccess
<ifModule mod_headers.c>
    # Улучшения безопасности
    Header unset Server
    # Header unset X-Pingback
    Header unset Accept-Ranges
    <FilesMatch "\.html>
        Header set X-Frame-Options "SAMEORIGIN"
        # Для IE
        BrowserMatch MSIE ie
        Header set Imagetoolbar "no" env=ie
        Header set X-Content-Type-Options "nosniff" env=ie
        Header set X-UA-Compatible "IE=edge" env=ie
        Header set X-XSS-Protection "1; mode=block" env=ie
        Header set X-Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \
            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ie
        # Для Firefox
        BrowserMatch Firefox ff
        Header set Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \
            script-src 'self' analytics.example.com ajax.googleapis.com; \
            font-src 'self' data:" env=ff
        # Для Safari
        BrowserMatch SAFARI safari
        Header set X-XSS-Protection "1; mode=block" env=safari
        Header set X-WebKit-CSP "default-src 'self'; img-src 'self' analytics.example.com; \
            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=safari
        # Для Chrome
        BrowserMatch CHROME ch
        Header set X-Content-Type-Options "nosniff" env=ch
        Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \
            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ch
        # Для Chrome
        BrowserMatch chromeframe chf
        Header set Imagetoolbar "no" env=chf
        Header set X-Content-Type-Options "nosniff" env=chf
        Header set X-UA-Compatible "IE=edge,chrome=1" env=chf
        Header set X-XSS-Protection "1; mode=block" env=chf
        Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \
            script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=chf
    </FilesMatch>
</IfModule>

5 комментариев

justalex
Юзер

justalex - 21 ноября 2014 00:05 -

Webmaster

Спасибо! Добавил, но в метрике все-равно появляются переходы, особенно много noname внешних ссылок, где нет даже названия, просто чекбокс и рядом пусто. Не подскажете как эта конструкция работает, она блокирует исполнение сторонних скриптов или как то иначе?

shmel1985
Юзер

shmel1985 - 21 ноября 2014 16:13 -

Добрый день, скажите пожалуйста а как сделать данную манипуляцию если сервер настроен на nginx?
Спасибо.

Webmaster
Юзер

Webmaster - 21 ноября 2014 21:29 -

Цитата: justalex
Добавил, но в метрике все-равно появляются переходы

Вообще Вам особо париться не нужно, сделайте фильтрацию как тут описано и всё...

Webmaster
Юзер

Webmaster - 21 ноября 2014 21:42 -

Цитата: shmel1985
скажите пожалуйста а как сделать данную манипуляцию если сервер настроен на nginx?

Вот Вам ещё несколько мест где данную проблему активно обсуждают..., тут и тут...

justalex
Юзер

justalex - 23 ноября 2014 15:43 -

Цитата: Webmaster
Вообще Вам особо париться не нужно
Да я бы и не парился, но упала посещалка при чем очень существенно, написал платону, тот ответил что сайт находится под фильтрами яндекса мол из-за агрессивной рекламы идущей якобы с моего сайта которая могла быть установлена без вашего ведома и.т.д. естественно никто не говорит где именно эта реклама встроена.

За последнее время я проверил сайт айболитом и удалил подозрительные коды в различных местах, обычно в JS скриптах а так же в шаблонах, но видимо до конца эту заразу не нашел, еще где-то наверняка остался какой то кусок кода который я не нашел

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

наверх