❓Вопрос #434 Как бороться, и что протипоставить...

#ответы

❓Вопрос #434

Как бороться, и что протипоставить "Яндекс.Советнику"? Пожалуйста, без лишней "воды", ведь для многих вебмастеров это больная тема.

❗️ Ответ

Бороться с Яндекс.Советником можно как платными, так и бесплатными способами.

1️⃣ Бесплатный способ (мы используем именно его) — блокировка советника своими силами с помощью Content Security Policy (CSP, политика защиты контента).

Сайт будет отдавать браузеру заголовок «Content-Security-Policy» со списком настроек и разрешённых хостов, например, «разрешён YouTube, Яндекс.Метрика и т. д.» (это нужно, чтобы загружалось видео и нормально работала метрика).

👉Для этого добавляем следующий код в файл .htaccess:

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self' \*.domain.ru data: 'unsafe-inline' https://www.youtube.com https://yandex.ru https://mc.yandex.ru https://yastatic.net https://google.ru 'unsafe-eval'"

</IfModule>

👆Разберём его подробнее:

▫️ Header set — назначение заголовка.

◽️Content-Security-Policy — тип назначаемого заголовка.

▫️ default-src — тип контента (в этом случае любой), для которого будет применён белый список доменов. Правильнее было бы использовать конкретные типы (script-src, img-src и т. д.), но тогда настройка сильно усложнится. Указывая только default-src, мы «говорим» браузеру, что можно загружать любые типы контента с перечисленных далее доменов.

▫️ 'self' — разрешаем домен, с которого загружается сама страница (т. е. основной).

▫️*.domain.ru — разрешаем все поддомены домена (* — любые символы).

▫️ data: — разрешаем загрузку контента в виде base64 и подобном (без явного указания этого слова он перестаёт загружаться).

▫️ 'unsafe-inline' — если не указать эту директиву, то весь встроенный в код страницы (inline) JS и CSS перестанет работать.

▫️ 'unsafe-eval' — разрешает динамически исполняемый код, вроде eval().

▫️ https://www.youtube.com, https://yandex.ru, https://mc.yandex.ru, https://yastatic.net, https://google.com — разрешённые домены других сайтов.

⚠️ Важно! Способ нужно применять предельно аккуратно. После добавления базового правила "default-src 'self'" большинство сайтов просто перестанет нормально работать и нужно будет отслеживать, что именно не грузится, и добавлять в исключения.

👉 Проверить корректность настойки CSP, можно с помощью сервиса.

Подробнее про CSP:

▫️Как настроить Content Security Policy (CSP)

▫️Инструкции для разработчиков от Google (english)

2️⃣ Платный — установка плагинов (модулей) на Ваш сайт.

Есть 3 сервиса, которые можно установить, они совместимы со всеми CMS:

▫️Goodmod

▫️Стоп.Советник

▫️АнтиСоветник

Стоит предупредить, мы плагинами не пользуемся, поэтому их работоспособность гарантировать не можем.

🤜 via @siteclinic_doctor

Источник новости https://t.me/siteclinic_doctor...