❓ Вопрос #365 Вопрос по поводу Яндекс.Советника
#ответы
❓ Вопрос #365
Вопрос по поводу Яндекс.Советника.
Был ли у вашей команды опыт использования на сайтах каких-либо плагинов или скриптов, блокирующих советника?
Если да, влияло ли это на ранжирование сайта? И какие способы блокировки посоветуете?
❗️ Ответ
Мы не используем сторонние плагины и скрипты, т. к. Советника можно заблокировать своими силами с помощью Content Security Policy (CSP, политика защиты контента).
Content Security Policy — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента.
При этом мы не замечали влияние блокировки на ранжирование сайта.
И так, чтобы заблокировать Яндекс Советника мы добавляем следующий код в файл .htaccess
mod_headers.c>
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.domain.ru data: 'unsafe-inline' https://www.youtube.com https://yandex.ru https://mc.yandex.ru https://yastatic.net https://google.ru 'unsafe-eval'"
</IfModule>
🤜 Разберём подробнее: 🤛
▫️Header set — назначение заголовка.
▫️Content-Security-Policy — тип назначаемого заголовка.
▫️default-src — тип контента (в данном случае любой), для которого будет применён белый список доменов. Правильнее было бы использовать конкретные типы (script-src, img-src и т. д.), но тогда настройка сильно усложнится. Указывая только default-src, мы «говорим» браузеру, что можно загружать любые типы контента с перечисленных далее доменов.
▫️'self' — разрешаем домен, с которого загружается сама страница (т. е. основной).
▫️*.domain.ru — разрешаем все поддомены домена televizor-x.ru (* — любые символы).
▫️data: — разрешаем загрузку контента в виде base64 и подобном (без явного указания этого слова он перестаёт загружаться).
▫️'unsafe-inline' — если не указать эту директиву, то весь встроенный в код страницы (inline) JS и CSS перестанет работать.
▫️'unsafe-eval' — разрешает динамически исполняемый код, вроде eval().
▫️https://www.youtube.com, https://yandex.ru, https://mc.yandex.ru, https://yastatic.net , https://google.com — разрешённые домены других сайтов. В данном случае нужны для того, чтобы загружалось видео с YouTube и нормально работала Яндекс.Метрика.
👆 Важно
Способ нужно применять предельно аккуратно. После добавления базового правила "default-src 'self'" большинство сайтов просто перестанет нормально работать и нужно будет отслеживать, что именно не грузится, и добавлять в исключения.
Подробнее Content Security Policy можно узнать в следующих статьях:
«Улучшение сетевой безопасности с помощью Content Security Policy»
«Content Security Policy Reference»
👉 via @siteclinic_doctor
Источник новости https://t.me/siteclinic_doctor...