а во первых нужно просканировать сайт и найти все ссылки и частотности, что бы не заморозить контент какой-нибудь.

Вот теперь это уж точно вне моих интересов 😀 Случайно замороженный контент ловить логами, хотя пикчи вообще по идее запрещать нельзя, а js-ы в основном либо инклудятся для всего сайта разом, либо локальные, либо популярные CDN.

На шаредах полно сидят, прописать в апач нельзя. Тут либо заголовок через htaccess либо модуль/класс какой-то надо универсальный.. либо под CMS что-то писать.

У кого 50 сайтов — на шаредах не сидят. Кто сидит — тот может и для каждого сайта в отдельности добавлять/настраивать, ничего сложного.

Странно что тема не всплывала. Маладец Спрут
Щас вот как напишу свой такой сервис =)//

Для этого и написал пост — инфы про CSP в сети крайне мало, хотя это далеко не новый стандарт, а засилье малварь на сайтах капитальное. Достаточно заглянуть в LI для сайтов лидеров по переходам: x8k.ru 854к/162кк за месяц, klickander.com 281к/57кк, infomedia.xyz 154к и т.д. У хитрожопых статы даже открыты — у clike.su по 40к уников в день, 1400к переходов на них за день (!!!) — http://www.liveinternet.ru/stat/clike.su/ref_servers.html?period=month . Можно просто идти по списку и предлагать установить CSP)

Бтв, cspgenerator.com свободен, вперед)

Вообщем теперь ясно что задача это непростая и зато это будет нормальная услуга за денежку.

Кстати рекомендую начать с WordPress и универсальных кодов, потом подключать DLE, Joomla ..

Ну реально нужно расчитывать на Шареды. Зато результат как ты говоришь будет заметен, и главное ты уже знаешь как его искать.

Странно что тема не всплывала. Маладец Спрут
Щас вот как напишу свой такой сервис =)//

Сам заразил, сам обиделся, сам написал скрипт.
Ты точно необучамый, тратить время на такую х.. и его же логировать по часам

За «заразил» я уже свои денежки получил, теперь время получить эти денежки за очистку хотя бы своего сайта от последствий)

«Такая хуйня» заняла не больше часа моего времени, а дала в результате +30% к посещаемости сайта, или +1500-2000 уников в день. Более чем достойный результат, на мой взшляд.

Можно ли прописывать вместо https?// просто // кажется так должно работать же нынче.

Кстати да, надо попробовать. Проблема не в стандарте, а в его поддержке некоторыми браузерами.

Другео дело когда у тебя 50 сайтов, половина на WordPress, остальные на черт поймеш чем. Нужно как-то разумно составлять .htaccess, и инклюдить общую часть каким-то образом.

Просто в один CSP объединять кучу правил (даже если они не используются на конкретно этом сайта) + более лояльную политику к тем же изображениям и шрифтам, и его одного инклудить на все сайты. Или, еще проще, прописывать его на уровне конфига тоже же nginx для всех сайтов разом, и вауля, никакой возни.

У меня вообще апача нет, я этот хидер через php добавлял)

Сервис надо, он не сложный по идее же,..

Именно что «по идее». Слишком ответсвенная задача, это не какие-то бордер-радиусы, тут и поддерживать в актуальном состоянии, и отслеживать скаммеров, поддержку браузеров и кучу всего. То есть быть постоянно в теме по CSP. С такими вводными мне уже как-то не особо хочется в это ввязываться, мешок геморроя за нихуя, да еще и в не особо интересной мне теме. Благо, есть вагон других проектов, куда можно пристроить руки)

Можно ли прописывать вместо https?// просто // кажется так должно работать же нынче.

Сервис надо, он не сложный по идее же,..
Другео дело когда у тебя 50 сайтов, половина на WordPress, остальные на черт поймеш чем.

Нужно как-то разумно составлять .htaccess, и инклюдить общую часть каким-то образом.

А то потом получится что раз в неделю будем править htaccess, да и htaccess бывают и без того могучие, где-то редиректов одних да правил доступа 100500,а тут еще CSP добавится.

Плагином для WordPress тут не отделаться.

На моем сайте развлекательной тематики 10-30% юзеров оказались заражены такой фигней (на секундочку забудем, кто именно подсовывал им инсталлы).

Сам заразил, сам обиделся, сам написал скрипт.
Ты точно необучамый, тратить время на такую х.. и его же логировать по часам

WP Content Security Policy Plugin

Максим, как-то стремно ставить новый плагин — там всего 20+ установок.

CSP без https на сайте – это половинчатая мера.

Да, но одно не заменяет другого. SSL без CSP не решит данной проблемы, но в отличие от CSP, замены рекламы провайдером в метро распространена куда меньше. А если нет передачи персональных данных, то наличие SSL не настолько критично для пользователей.