вопрос
Тема для всех тех у кого в метрике показываются внешние переходы на левые сайты типа gobongo.info luxup.ru и многие другие. Это результат вредоносных программ которые интегрируются в браузеры пользователей и когда пользователи заходят на ваш сайт они видят на нем разного рода рекламу, баннера, тизеры, всплывающие окна, и.т.д.
Главный минус в том, что эти переходы учитывает яндекс, после чего относит ваш сайт к неблагонадежным, который показывает много плохой рекламы, после чего занижает результаты выдачи и ваш сайт в яндексе теряет посещаемость до 75% трафика (!)
Чтобы этого избежать нужно применить Content Security Policy - прописать запрет на внешние ссылки и скрипты в .htaccess
Я нашел код, выглядит он так
# Security improvements
Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"
но как адаптировать его для DLE я не знаю! Помогите кто знает!
Главный минус в том, что эти переходы учитывает яндекс, после чего относит ваш сайт к неблагонадежным, который показывает много плохой рекламы, после чего занижает результаты выдачи и ваш сайт в яндексе теряет посещаемость до 75% трафика (!)
Чтобы этого избежать нужно применить Content Security Policy - прописать запрет на внешние ссылки и скрипты в .htaccess
Я нашел код, выглядит он так
# Security improvements
Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"
но как адаптировать его для DLE я не знаю! Помогите кто знает!
Попробуй добавить эту конструкцию в свой файл .htaccess
<ifModule mod_headers.c>
# Улучшения безопасности
Header unset Server
# Header unset X-Pingback
Header unset Accept-Ranges
<FilesMatch "\.html>
Header set X-Frame-Options "SAMEORIGIN"
# Для IE
BrowserMatch MSIE ie
Header set Imagetoolbar "no" env=ie
Header set X-Content-Type-Options "nosniff" env=ie
Header set X-UA-Compatible "IE=edge" env=ie
Header set X-XSS-Protection "1; mode=block" env=ie
Header set X-Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \
script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ie
# Для Firefox
BrowserMatch Firefox ff
Header set Content-Security-Policy "default-src 'self'; img-src 'self' analytics.example.com; \
script-src 'self' analytics.example.com ajax.googleapis.com; \
font-src 'self' data:" env=ff
# Для Safari
BrowserMatch SAFARI safari
Header set X-XSS-Protection "1; mode=block" env=safari
Header set X-WebKit-CSP "default-src 'self'; img-src 'self' analytics.example.com; \
script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=safari
# Для Chrome
BrowserMatch CHROME ch
Header set X-Content-Type-Options "nosniff" env=ch
Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \
script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=ch
# Для Chrome
BrowserMatch chromeframe chf
Header set Imagetoolbar "no" env=chf
Header set X-Content-Type-Options "nosniff" env=chf
Header set X-UA-Compatible "IE=edge,chrome=1" env=chf
Header set X-XSS-Protection "1; mode=block" env=chf
Header set X-WebKit-CSP "default-src 'none'; img-src 'self' analytics.example.com; \
script-src 'self' analytics.example.com ajax.googleapis.com; font-src 'self' data:" env=chf
</FilesMatch>
</IfModule>
