❓ Вопрос #365 Вопрос по поводу Яндекс.Советника

#ответы

❓ Вопрос #365

Вопрос по поводу Яндекс.Советника.

Был ли у вашей команды опыт использования на сайтах каких-либо плагинов или скриптов, блокирующих советника?

Если да, влияло ли это на ранжирование сайта? И какие способы блокировки посоветуете?

❗️ Ответ

Мы не используем сторонние плагины и скрипты, т. к. Советника можно заблокировать своими силами с помощью Content Security Policy (CSP, политика защиты контента).

Content Security Policy — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента.

При этом мы не замечали влияние блокировки на ранжирование сайта.

И так, чтобы заблокировать Яндекс Советника мы добавляем следующий код в файл .htaccess

mod_headers.c>

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' *.domain.ru data: 'unsafe-inline' https://www.youtube.com https://yandex.ru https://mc.yandex.ru https://yastatic.net https://google.ru 'unsafe-eval'"

</IfModule>

🤜 Разберём подробнее: 🤛

▫️Header set — назначение заголовка.

▫️Content-Security-Policy — тип назначаемого заголовка.

▫️default-src — тип контента (в данном случае любой), для которого будет применён белый список доменов. Правильнее было бы использовать конкретные типы (script-src, img-src и т. д.), но тогда настройка сильно усложнится. Указывая только default-src, мы «говорим» браузеру, что можно загружать любые типы контента с перечисленных далее доменов.

▫️'self' — разрешаем домен, с которого загружается сама страница (т. е. основной).

▫️*.domain.ru — разрешаем все поддомены домена televizor-x.ru (* — любые символы).

▫️data: — разрешаем загрузку контента в виде base64 и подобном (без явного указания этого слова он перестаёт загружаться).

▫️'unsafe-inline' — если не указать эту директиву, то весь встроенный в код страницы (inline) JS и CSS перестанет работать.

▫️'unsafe-eval' — разрешает динамически исполняемый код, вроде eval().

▫️https://www.youtube.com, https://yandex.ru, https://mc.yandex.ru, https://yastatic.net , https://google.com — разрешённые домены других сайтов. В данном случае нужны для того, чтобы загружалось видео с YouTube и нормально работала Яндекс.Метрика.

👆 Важно

Способ нужно применять предельно аккуратно. После добавления базового правила "default-src 'self'" большинство сайтов просто перестанет нормально работать и нужно будет отслеживать, что именно не грузится, и добавлять в исключения.

Подробнее Content Security Policy можно узнать в следующих статьях:

«Улучшение сетевой безопасности с помощью Content Security Policy»

«Content Security Policy Reference»

👉 via @siteclinic_doctor

Источник новости https://t.me/siteclinic_doctor...