❓Вопрос #434 Как бороться, и что протипоставить...
#ответы
❓Вопрос #434
Как бороться, и что протипоставить "Яндекс.Советнику"? Пожалуйста, без лишней "воды", ведь для многих вебмастеров это больная тема.
❗️ Ответ
Бороться с Яндекс.Советником можно как платными, так и бесплатными способами.
1️⃣ Бесплатный способ (мы используем именно его) — блокировка советника своими силами с помощью Content Security Policy (CSP, политика защиты контента).
Сайт будет отдавать браузеру заголовок «Content-Security-Policy» со списком настроек и разрешённых хостов, например, «разрешён YouTube, Яндекс.Метрика и т. д.» (это нужно, чтобы загружалось видео и нормально работала метрика).
👉Для этого добавляем следующий код в файл .htaccess:
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' \*.domain.ru data: 'unsafe-inline' https://www.youtube.com https://yandex.ru https://mc.yandex.ru https://yastatic.net https://google.ru 'unsafe-eval'"
</IfModule>
👆Разберём его подробнее:
▫️ Header set — назначение заголовка.
◽️Content-Security-Policy — тип назначаемого заголовка.
▫️ default-src — тип контента (в этом случае любой), для которого будет применён белый список доменов. Правильнее было бы использовать конкретные типы (script-src, img-src и т. д.), но тогда настройка сильно усложнится. Указывая только default-src, мы «говорим» браузеру, что можно загружать любые типы контента с перечисленных далее доменов.
▫️ 'self' — разрешаем домен, с которого загружается сама страница (т. е. основной).
▫️*.domain.ru — разрешаем все поддомены домена (* — любые символы).
▫️ data: — разрешаем загрузку контента в виде base64 и подобном (без явного указания этого слова он перестаёт загружаться).
▫️ 'unsafe-inline' — если не указать эту директиву, то весь встроенный в код страницы (inline) JS и CSS перестанет работать.
▫️ 'unsafe-eval' — разрешает динамически исполняемый код, вроде eval().
▫️ https://www.youtube.com, https://yandex.ru, https://mc.yandex.ru, https://yastatic.net, https://google.com — разрешённые домены других сайтов.
⚠️ Важно! Способ нужно применять предельно аккуратно. После добавления базового правила "default-src 'self'" большинство сайтов просто перестанет нормально работать и нужно будет отслеживать, что именно не грузится, и добавлять в исключения.
👉 Проверить корректность настойки CSP, можно с помощью сервиса.
Подробнее про CSP:
▫️Как настроить Content Security Policy (CSP)
▫️Инструкции для разработчиков от Google (english)
2️⃣ Платный — установка плагинов (модулей) на Ваш сайт.
Есть 3 сервиса, которые можно установить, они совместимы со всеми CMS:
▫️Goodmod
▫️Стоп.Советник
▫️АнтиСоветник
Стоит предупредить, мы плагинами не пользуемся, поэтому их работоспособность гарантировать не можем.
🤜 via @siteclinic_doctor
Источник новости https://t.me/siteclinic_doctor...