He configurado el encabezado Content-Security-Policy-Report-Only, y estoy en report-uri obteniendo un número relativamente alto (varios cientos por mes) de solicitudes fallidas en img-src
para URL sospechosas:
https://netanalytics.xyz/metric/
https://netanalitics.space/metric/
https://glganltcs.space
también hay algunos que parecen aún más pirateados:
script-src on https://etgfsiwxsbxr.ru/d6safundjenk6af/29915.js
connect-src on http://gj.track.uc.cn/collect
¿e incluso algunos supuestos accesos de estilo para las fuentes ?!
{
"csp-report": {
"blocked-uri": "https://fonts.googleapis.com",
"document-uri": "https://biciklijade.com/",
"original-policy": "default-src 'none'; manifest-src https://biciklijade.com; script-src https://biciklijade.com; style-src https://biciklijade.com; connect-src https://biciklijade.com; form-action https://biciklijade.com; img-src https://biciklijade.com https://*.tile.openstreetmap.org https://*.tile.osm.org data:; report-uri https://biciklijade.report-uri.com/r/d/csp/reportOnly",
"violated-directive": "style-src"
}
}
Tenga en cuenta que, como máximo, especifico CSS body { font: 16px/21px Arial, "Helvetica Neue", Helvetica, sans-serif; }
sin haber especificado nunca src
para descargar fuentes de google (o de cualquier otra persona), por lo que los navegadores IMHO nunca deberían conectarse a google para obtenerlos, ¿no?
He revisado el código y las bases de datos para asegurarme de que no se hayan resquebrajado y que todos se vean bien. El hecho de que se navegue el sitio desde Firefox y Chromium con la consola de desarrollador abierta tampoco parece provocar ninguna violación de CSP. La mayoría del sitio está hecho a mano y no se supone que esté utilizando ningún análisis.
Pregunta 1: ¿Alguno de esos le parece legítimo? Ellos no lo hacen conmigo; y me gustaría mover el CSP de solo informes a bloqueos reales
Pregunta 2: Si esos son accesos no legítimos, ¿es posible que todos provengan de clientes crackeados, en lugar de sitios web infectados? Ya lo he comprobado, y el sitio web parece estar limpio, pero me gustaría tener algunas garantías de que otras personas también están viendo cosas como esas