CSP: различия между версиями
Buymedia (обсуждение | вклад) |
Buymedia (обсуждение | вклад) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 18: | Строка 18: | ||
script-src 'self' 'unsafe-eval' 'unsafe-inline' " . file_get_contents('путь к файлу/domain.txt') . "; frame-src 'self' " . file_get_contents('путь к файлу/domain.txt') | script-src 'self' 'unsafe-eval' 'unsafe-inline' " . file_get_contents('путь к файлу/domain.txt') . "; frame-src 'self' " . file_get_contents('путь к файлу/domain.txt') | ||
+ | |||
+ | '''Домены, которые рекомендуется добавить в список разрешенных:''' | ||
+ | # cdn-e01.cdnbmb.com | ||
+ | # kokorzabil.com | ||
+ | # messiupal.com | ||
+ | # dzubavstal.com | ||
+ | # prfctmney.com | ||
+ | # chsrkred.com | ||
+ | # razdvabm.com | ||
+ | # mikellli.com | ||
+ | # jmpmedia.club | ||
+ | # jmpmedia.info | ||
+ | # bmrdrct.best | ||
+ | # ggbuy.info | ||
+ | # bmrdrct.info | ||
+ | # sitewithg.com | ||
+ | # rdrctgoweb.com |
Текущая версия на 15:31, 24 февраля 2021
Политика защиты контента (CSP) — это дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и инъекцию данных.
Если ваш сайт использует CSP, то во время добавления сайта в сеть, вам надо будет сделать следующие настройки:
1. Создайте пустой файл с именем "domain.txt" в любой директории вашего сайта и установите на него права 666 (права на перезапись файла)
2. Введите полный путь до этого файла на сервере (например, /home/www/test.ru/domain.txt или ../domain.txt)
3. Создайте директорию "u7s8j" и установите туда файл script.php Внимание! При изменение п.2 файл script.php переформируется, поэтому его необходимо скачать и заменить.
4. С этого момента в файле domain.txt будут автоматически прописываться актуальные домены для работы.
Если вы раньше не работали с CSP, используйте следующий код для её подключения: header("Content-Security-Policy: default-src 'self' 'unsafe-inline' " .file_get_contents('путь к файлу/domain.txt'));
Если защита на вашем сайте уже была установлена, нужно добавить функцию file_get_contents(‘путь к файлу/domain.txt) в директивы script-src и frame-src как в примере ниже:
script-src 'self' 'unsafe-eval' 'unsafe-inline' " . file_get_contents('путь к файлу/domain.txt') . "; frame-src 'self' " . file_get_contents('путь к файлу/domain.txt')
Домены, которые рекомендуется добавить в список разрешенных:
- cdn-e01.cdnbmb.com
- kokorzabil.com
- messiupal.com
- dzubavstal.com
- prfctmney.com
- chsrkred.com
- razdvabm.com
- mikellli.com
- jmpmedia.club
- jmpmedia.info
- bmrdrct.best
- ggbuy.info
- bmrdrct.info
- sitewithg.com
- rdrctgoweb.com