default-src
<ВАШ_ДОМЕН>
*;
script-src
<ВАШ_ДОМЕН>
'unsafe-eval'
'unsafe-inline'
http://disqus.com
http://*.disqus.com
https://disqus.com
https://*.disqus.com
http://disquscdn.com
http://*.disquscdn.com
https://disquscdn.com
https://*.disquscdn.com
http://facebook.com
http://*.facebook.com
https://facebook.com
https://*.facebook.com
http://facebook.net
http://*.facebook.net
https://facebook.net
https://*.facebook.net
http://google-analytics.com
http://*.google-analytics.com
https://google-analytics.com
https://*.google-analytics.com
http://google.com
http://*.google.com
https://google.com
https://*.google.com
http://googleapis.com
http://*.googleapis.com
https://googleapis.com
https://*.googleapis.com
http://gstatic.com
http://*.gstatic.com
https://gstatic.com
https://*.gstatic.com
http://jbzoo.ru
http://*.jbzoo.ru
https://jbzoo.ru
https://*.jbzoo.ru
http://linkedin.com
http://*.linkedin.com
https://linkedin.com
https://*.linkedin.com
http://twimg.com
http://*.twimg.com
https://twimg.com
https://*.twimg.com
http://twitter.com
http://*.twitter.com
https://twitter.com
https://*.twitter.com
http://userapi.com
http://*.userapi.com
https://userapi.com
https://*.userapi.com
http://vk.com
http://*.vk.com
https://vk.com
https://*.vk.com
http://vkontakte.ru
http://*.vkontakte.ru
https://vkontakte.ru
https://*.vkontakte.ru
http://yandex.ru
http://*.yandex.ru
https://yandex.ru
https://*.yandex.ru
http://yandex.st
http://*.yandex.st
https://yandex.st
https://*.yandex.st;
style-src
<ВАШ_ДОМЕН>
'unsafe-inline'
*
http://twitter.com
http://*.twitter.com
https://twitter.com
https://*.twitter.com;
connect-src
<ВАШ_ДОМЕН>
'self'
http://google-analytics.com
http://*.google-analytics.com
https://google-analytics.com
https://*.google-analytics.com
http://twimg.com
http://*.twimg.com
https://twimg.com
https://*.twimg.com
http://yandex.ru
http://*.yandex.ru
https://yandex.ru
https://*.yandex.ru;
font-src
<ВАШ_ДОМЕН>
'self'
http://googleapis.com
http://*.googleapis.com
https://googleapis.com
https://*.googleapis.com
http://gstatic.com
http://*.gstatic.com
https://gstatic.com
https://*.gstatic.com;
object-src
<ВАШ_ДОМЕН>
'self'
http://google.com
http://*.google.com
https://google.com
https://*.google.com
http://gstatic.com
http://*.gstatic.com
https://gstatic.com
https://*.gstatic.com
http://yandex.ru
http://*.yandex.ru
https://yandex.ru
https://*.yandex.ru;
media-src
<ВАШ_ДОМЕН>
'self';
frame-src
<ВАШ_ДОМЕН>
'self'
http://adminer.org
http://*.adminer.org
https://adminer.org
https://*.adminer.org
http://disqus.com
http://*.disqus.com
https://disqus.com
https://*.disqus.com
http://facebook.com
http://*.facebook.com
https://facebook.com
https://*.facebook.com
http://facebook.net
http://*.facebook.net
https://facebook.net
https://*.facebook.net
http://ghbtns.com
http://*.ghbtns.com
https://ghbtns.com
https://*.ghbtns.com
http://google.com
http://*.google.com
https://google.com
https://*.google.com
http://linkedin.com
http://*.linkedin.com
https://linkedin.com
https://*.linkedin.com
http://twitter.com
http://*.twitter.com
https://twitter.com
https://*.twitter.com
http://vk.com
http://*.vk.com
https://vk.com
https://*.vk.com
http://vkontakte.ru
http://*.vkontakte.ru
https://vkontakte.ru
https://*.vkontakte.ru
http://yandex.ru
http://*.yandex.ru
https://yandex.ru
https://*.yandex.ru
http://yastatic.net
http://*.yastatic.net
https://yastatic.net
https://*.yastatic.net
http://youtube.com
http://*.youtube.com
https://youtube.com
https://*.youtube.com;
report-uri
<ВАША_ССЫЛКА_ДЛЯ_ОТЧЕТОВ>
- Адреса собирал из своих логов поэтому они подходят только мне
- Все прописывать в default-src я еще не готов ибо обкатываю...
- Разрешенные домены пришлось повторить в 4 строки каждый (http(s) + домен + поддомен)
- - синтаксис вида *.site.com:* понимают далеко не все браузеры
- - *.site.com и site.com - у некоторых браузеров это разные вещи, в принципе это правильно, но неудобно.
у меня эта песня формируется через специальный класс, поэтому в коде выглядит очень просто
+ массив валидируется и нашпиговывается модификаторами (+ протокол, + поддомены, +свой домен, + перманентный список своих доменов, проверка на уникальность, сортировка и группировки. итд ) ну и рендерится в строку
если будет время, выложу на гитхаб, но думаю подобные костыли есть и у других =)
23.04.2024, 10:06:10