CSP: различия между версиями
Buymedia (обсуждение | вклад) |
Buymedia (обсуждение | вклад) |
||
Строка 33: | Строка 33: | ||
# ggbuy.info | # ggbuy.info | ||
# bmrdrct.info | # bmrdrct.info | ||
+ | # sitewithg.com | ||
+ | # rdrctgoweb.com |
Текущая версия на 15:31, 24 февраля 2021
Политика защиты контента (CSP) — это дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и инъекцию данных.
Если ваш сайт использует CSP, то во время добавления сайта в сеть, вам надо будет сделать следующие настройки:
1. Создайте пустой файл с именем "domain.txt" в любой директории вашего сайта и установите на него права 666 (права на перезапись файла)
2. Введите полный путь до этого файла на сервере (например, /home/www/test.ru/domain.txt или ../domain.txt)
3. Создайте директорию "u7s8j" и установите туда файл script.php Внимание! При изменение п.2 файл script.php переформируется, поэтому его необходимо скачать и заменить.
4. С этого момента в файле domain.txt будут автоматически прописываться актуальные домены для работы.
Если вы раньше не работали с CSP, используйте следующий код для её подключения: header("Content-Security-Policy: default-src 'self' 'unsafe-inline' " .file_get_contents('путь к файлу/domain.txt'));
Если защита на вашем сайте уже была установлена, нужно добавить функцию file_get_contents(‘путь к файлу/domain.txt) в директивы script-src и frame-src как в примере ниже:
script-src 'self' 'unsafe-eval' 'unsafe-inline' " . file_get_contents('путь к файлу/domain.txt') . "; frame-src 'self' " . file_get_contents('путь к файлу/domain.txt')
Домены, которые рекомендуется добавить в список разрешенных:
- cdn-e01.cdnbmb.com
- kokorzabil.com
- messiupal.com
- dzubavstal.com
- prfctmney.com
- chsrkred.com
- razdvabm.com
- mikellli.com
- jmpmedia.club
- jmpmedia.info
- bmrdrct.best
- ggbuy.info
- bmrdrct.info
- sitewithg.com
- rdrctgoweb.com