Есть решение проблемы с советником, подскажите как внедрить этот заголовок
Content-Security-Policy:
default-src 'self' *.mysite.ru mysite.ru;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mysite.ru mysite.ru *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
frame-src 'self' *.mysite.ru mysite.ru *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;
connect-src 'self' *.mysite.ru mysite.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
style-src 'self' 'unsafe-inline' 'unsafe-eval *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
font-src 'self' *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
img-src 'self' *.mysite.ru mysite.ru *.vk.me vk.me *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com;
object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;
report-uri /csp-report/report.php
способно решить подобную проблему. // переносы для удобства. На самом деле все нужно пихать в одну строку (для тех кто далек от этого). // mysite.ru нужно менять на свой домен. По идее, достаточно 'self', но как где-то прочитал, не все браузеры этот self воспринимают адекватно.
На php заголовки отдаются вот так:
все в одну строчку. Сразу скажу - если на сайте используются кнопки соц.сетей, метрика, аналитикс и проч. сторонняя хрень - писать этот заголовок заколебешься. Поэтому, то что выше, я нашел на просторах сети (на серче, кажется) что-то более менее сносное, и переделал под себя. Поэтому, там есть что-то лишнее, на всякий пожарный.
Код файла /csp-report/report.php
<?php
header("HTTP/1.0 204 No Response");
$file = 'report.txt';
if($json_data = json_decode(file_get_contents('php://input'))){
$data = json_encode($json_data)."\n";
file_put_contents($file, $data, FILE_APPEND | LOCK_EX);
}
В эту же папку после пишется файл report.txt, где можно посмотреть, что и как.
Напишите пожалуйста по порядку какой файл нужно создать или в какой файл нужно этот код вставить, и в какую папку это все скопировать