このブログに
前回 ポリシーを
結果を
[TOC]
前回変更時の 記事
Content Security Policy 適用後の
現在の ポリシー定義
現在の
2018年の
Content-Security-Policy-Report-Only: font-src 'self' fonts.gstatic.com *.monotalk.xyz; object-src pagead2.googlesyndication.com; default-src 'self'; child-src 'self' googleads.g.doubleclick.net staticxx.facebook.com *.disqus.com kemsakurai.github.io *.ampproject.net syndication.twitter.com platform.twitter.com www.googletagmanager.com rcm-fe.amazon-adsystem.com; connect-src 'self' *.disqus.com uh0.nakanohito.jp www.google-analytics.com pagead2.googlesyndication.com syndication.twitter.com 3p.ampproject.net www.googletagmanager.com; style-src 'self' 'unsafe-inline' *.disquscdn.com *.google.com *.googleapis.com *.monotalk.xyz platform.twitter.com ton.twimg.com ; script-src 'self' 'unsafe-inline' 'unsafe-eval' pagead2.googlesyndication.com www.google-analytics.com *.disqus.com c.disquscdn.com disqus.com *.googletagmanager.com *.google-analytics.com *.ampproject.org adservice.google.com tagmanager.google.com adservice.google.co.jp uh.nakanohito.jp platform.twitter.com cdn.syndication.twimg.com tagmanager.google.com googleads.g.doubleclick.net; img-src 'self' *.disqus.com *.disquscdn.com *.googleusercontent.com *.google.com *.googledrive.comgoogledrive.com data: googledrive.com drive.google.com www.gstatic.com www.monotalk.xyz ssl.gstatic.com ir-jp.amazon-adsystem.com ssl.google-analytics.com; report-uri /report/
CSP の レポートデータの 収集と、 集計に ついて
MongoDB
に
収集、
Content Security Policy (CSP) の
集計と、 修正の 方針
violated-directive
ごとのblocked-uri
を
集計には、
TOP10 以下も
violated-directive
ごとの blocked-uri
の 集計結果
violated-directive : script-src
での 集計
- 結果
各ドメインごとの
設定要否 cdn.mxpnl.com
最近、Mixpanel の 設定を したのですが、 Mixpanl の ドメインの 外部スクリプトでの 警告です。 許可します。 adservice.google.co.kr Google ads 関連の
ドメインです。
Mixpanel とdata 以外、 Google ads の 関連ドメインです。
関連ドメインを許可します。 data
script-src
でdata 属性と いうのが よく わかりません。 これは、 無視して 様子を みます。
violated-directive : style-src
での 集計
- 結果
- 各ドメインごとの
設定要否
style-src
については、 前回の 設定で 大分警告が 抑えられています 。
tkx-224-2xxxx.vs.sakura.ne.jp
はこの VPS の ドメインで、 VPS 移行時に 記録されている ものです。
数も少ないので、 無視して 陽数を 見ます。
violated-directive : frame-src
での 集計
child-src
、frame-src
での
- 結果
child-src での 集計結果
前回集計時は、
count | blocked-uri |
---|---|
1767 | https://disqus.com |
1592 | https://disqusads.com |
7 | data |
4 | http://notify.bluecoat.com |
1 | https://securepubads.g.doubleclick.net |
- 結果
frame-src での 集計結果
count | blocked-uri |
---|---|
34425 | https://disqus.com |
8834 | https://disqusads.com |
2205 | |
143 | data |
90 | https://api.weblio.jp |
40 | chrome-error |
27 | https://securepubads.g.doubleclick.net |
16 | http://rcm-fe.amazon-adsystem.com |
16 | https://disqus.com/ |
14 | https://cdn.ritekit.com |
各ドメインごとの
設定要否 disqus.com
disqus のドメインです。 前に 設定した 気が しますが、 設定漏れが あったのかもしれません。 許可します。 disqusads.com
最近、disqus の 広告欄が 表示されるようになったのです、 notify.bluecoat.com
Webセキュリティ・WAN最適化アプライアンス「Blue Coat」(ブルーコート):株式会社日立システムズ 関連の ドメイン でしょうか。 無視します。 securepubads.g.doubleclick.net
削除する方法 Securepubads.g.doubleclick.net :Securepubads.g.doubleclick.net を アンインストールする ための 完全なと possilbe方法 – 取り 外すPC マルウェア ウイルス と いう 記事を 見つけました。 無視します。 api.weblio.jp
Weblio のextention で 警告が 出ているのかと 思います。 無視します。 rcm-fe.amazon-adsystem.com
Amazon のads 関連の domain のようです。 使用している ため、 許可します。 cdn.ritekit.com
RiteKit の関連の ドメインのようです。 ads 関連で 出力されていそうですが、 数が 少ないので 無視して 様子を 見ます。
violated-directive : font-src
での 集計
- 結果
各ドメインごとの
設定要否 data
これは、自ドメインの font ファイル Webpack で JavaScript に 展開するようにした? ことにより 発生しています。
許可します。webfonts.zohostatic.com
font 関連のcdn? かと 思いますが、 使用している 覚えが ありません。 無視します。 c.disquscdn.com
これは、disqus の CDN かと 思います。 数が 少ないので 無視します。 cdn.emojidex.com
emojidex-web/README.ja.md at master · emojidex/emojidex-web です。
ブックマークレットかなにかで出ているのかと 思います。 無視します。
violated-directive = object-src
での 集計
- 結果
count | blocked-uri |
---|---|
0件です。
violated-directive = connect-src
での 集計
- 結果
count | blocked-uri |
---|---|
0件です。
violated-directive = img-src
での 集計
img-src
は
直近1ヶ月分のみの
- 結果
各ドメインごとの
設定要否 stats.g.doubleclick.net
dobleclick のドメインです。 許可します。 bcp.crwdcntrl.net
DMP Provider | Data Management Platform & Solutions | Lotame です。DMP 関連の 企業の ドメインのようです。
広告関連でアクセスが 発生していそうです。 無視して 様子を みます。 tags.rd.linksynergy.com
linksynergy.comはどこの アフィリエイト会社でしょうか? -click.links- インターネットビジネス | 教えて!goo これも 広告関連で アクセスが 発生していそうです。 無視して 様子を みます。 magnetic.t.domdex.com
Magnetic AI Platform | AI-Powered Advertising Solutions 関連のドメインのようです。
アクセスが発生していそうです。 無視して 様子を みます。 viglink.com
非アフィリリンクを自動で アフィリリンクへ 変換! 知って 得する VigLinkの サービス 関連の ドメインのようです。 これも 広告関連ですね。 無視して 様子を みます。 www.google-analytics.com
Google Anlaytics のドメインです。 許可します。 pagead2.googlesyndication.com
SSL 対応のAdSense 用広告コード - AdSense ヘルプ
Google ads 関連のドメインです。 許可します。 drive.google.com
Google Drive のドメインです。 画像の 配置先と して、 Google Drive を 使用しているのですが、 それで 出力されるようです。
許可します。
まとめ
Content Security Policy の
Google アドセンス。
アドセンスを 入れている 限りは、 警告を 完全に 除去するのは 難しい。
広告プロバイダの導入している サービスで 警告が 出ていそうにも 思います。
CSP でもう一つ 設定が できたりすると いいのかもしれません。 許可している ドメインが 許可している ポリシーは 警告を 出さないとかできないですかね。 外部サービスの
タグを 埋め込む 場合も、 見直しは 必要。
同じことの 繰り返しですが、 タグを 仕込むたびに 警告が 出力されます。 MongoDB での
集計、 レポートが 現状の 仕組みだと つらい。
MongoDB から何かの グラフツールに 連携、 異常検知 が できるようにしたいです。
以上です。
コメント