Блокируются любые попытки отправить данные с защищаемой странице.
Данные с защищаемой страницы разрешено отправлять на любой сайт.
Данные с защищаемой страницы разрешено отправлять только на исходный сайт.
Данные со страницы разрешено отправлять на указанные сайты.
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Шрифты
Никакие внешние шрифты не будут загружаться и не будут применяться на защищаемой странице.
Разрешается загружать и использовать шрифты, размещённые на любых сайтах.Например, с помощью CSS-правила @font-face:
Разрешается подключать и использовать файлы шрифтов, размещённые только на исходном сайте.Например, с помощью CSS-правила @font-face:
@font-face{ …; src: url("/font.ttf"); }
С этих сайтов также будет разрешена загрузка файлов шрифтов.
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Фреймы
Блокируется размещение любых фреймов на защищаемой странице.
В качестве источника фрейма разрешается использовать файлы, размещённые на любых сайтах.
В качестве источника фрейма разрешается использовать файлы, размещённые только на исходном сайте.
С этих сайтов также будет разрешена загрузка файлов, отображаемых во фреймах.
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Манифест
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Изображения
Никакие изображения не будут загружаться и не будут отображаться на защищаемой странице.
Разрешается загружать и использовать изображения, размещённые на любых сайтах.Например, с помощью HTML-элемента <img>:
Разрешается подключать и использовать файлы скриптов, размещённые только на исходном сайте.Например, с помощью HTML-элемента <img>:
<imgsrc="/image.png">
HTML-элемента <link>:
<linkrel="preload" href="/image.png" as="image">
или CSS *-image правил:
background-image: url("/image.png");
С этих сайтов также будет разрешена загрузка файлов изображений любым способом.
Разрешается использовать изображения, встроенные непосредственно в документ:
<imgsrc="data:…">
или в CSS *-image правил:
background-image: url("data:…");
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Скрипты
Никакие скрипты не будут загружаться и не будут выполняться на защищаемой странице.
Разрешается подключать и использовать файлы скриптов, размещённые на любых сайтах.Например, с помощью HTML-элемента <script>:
Разрешается подключать и использовать файлы скриптов, размещённые только на исходном сайте.Например, с помощью HTML-элемента <script>:
<scriptsrc="/script.js"><script>
или с помощью HTML-элемента <link>:
<linkrel="preload" href="/script.js" as="script">
С этих сайтов также будет разрешена загрузка файлов скриптов любым способом.
Разрешается использовать встроенные в документ скрипты:
<script>
…
</script>
и JavaScript-навигацию:
<a href="javascript:…">
Разрешается использовать обработчики событий, объявленные через атрибуты HTML-элементов:
<tag onevent="…">
Разрешается использовать вычисления выражений с помощью небезопасной функции eval( ):
eval("…");
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Стили
Никакие стили не будут загружаться и не будут применяться к защищаемому документу.
Разрешается подключать и использовать файлы таблиц стилей, размещённые на любых сайтах.Например, с помощью HTML-элемента <link>:
Разрешается подключать и использовать стилевые файлы, размещённые только на исходном сайте.Например, с помощью HTML-элемента <link>:
<linkrel="stylesheet" href="/style.css">
<linkrel="preload" href="/style.css" as="style">
или через CSS-правило @import:
@import url("/style.css");
С этих сайтов также будет разрешена загрузка стилевых файлов любым способом.
Разрешается использовать встроенные в документ таблицы стилей:
<style>
…
</style>
В том числе и динамически создавать их на базе JavaScript-метода createElement:
document.createElement("style");
Разрешается использовать стили, объявленные в HTML-элементах через атрибут style:
<tag style="…">
или установленные с помощью JavaScript-метода управления атрибутами setAttribute:
element.setAttribute("style", "…");
При формировании отчёта о нарушении прикладывать пример кода, который вызвал нарушение. При наличии технической возможности в отчёте будут присутствовать первые 40 символов проблемного кода.
Отчёты о нарушении
В этом режиме нарушения безопасности обнаруживаются, но нарушители не блокируются. Рекомендуется использовать в самом начале настройки политики безопасности для оценки объёма проблемных транзакций.
Браузер пользователя формирует JSON-сообщение с описанием нарушения и передаёт его указанному скрипту.
Этот скрипт будет вызываться каждый раз, когда будет возникать нарушение. Скрипт будет получать данные о нарушении, которые можно сохранять в лог-файле и/или отправлять уведомление, например, на электронную почту.
Сервисы счётчиков
Разрешить использование скрипта счётчика Яндекс.Метрика.
Разрешить Яндекс.Метрике записывать действия пользователей на сайте. Удобно для анализа поведения пользователей.
Разрешить Яндекс.Метрике проверять браузер на наличие активного блокировщика рекламы. Блокировщик рекламы может быть уже встроенным в браузер либо реализованным с помощью плагина к браузеру. Тест помогает оценить долю пользователей, которые "бесплатно" пользуются сайтом.
Разрешить использование скрипта Google Менеджер тегов.
Разрешить использование скрипта счётчика Рейтинг Mail.Ru.
Разрешить использование скрипта счётчика LiveInternet.
Разрешить использование скриптов рекламной системы Google AdSense.
На сайте есть AMP-страницы с рекламным кодом.
Разрешить использование скриптов Рекламной Сети Яндекс.
Разрешить использование скриптов рекламной системы myTarget от Mail.Ru.
Разрешить использование внешних шрифтов Font Awesome.
Разрешить использование внешних шрифтов Google Fonts.
Разрешить использование JavaScript-библиотеки JQuery.
Разрешить использование JavaScript-библиотеки Chart.js.
Разрешить использование встроенных видео YouTube.
Разрешить использование видеоплеера Vimeo.
Разрешить использование скрипта Яндекс.Поиск по сайту. Если на сайте не реализован собственный поиск, то этот скрипт позволит производить качественный поиск по сайту. Это может улучшить поведенческие факторы сайта.
Разрешить использование скрипта Советника Яндекс.Маркета. Пользователи сайта будут получать уведомления о наличии товаров по более низкой цене, чем размещённые на сайте. Это будет приводить к перетоку пользователей на конкурирующие сайты.
Разрешить использование перевода страниц в Яндекс.Браузере.
Управление настройками
Кнопки в разработке
PHP
Для скриптов, написанных на языке PHP, необходимо добавить строку с кодом в начало скрипта, до точки вывода основного контента.
В некоторых случаях правила безопасности контента удобнее размещать непосредственно в документе, в блоке мета-данных. Но этот способ имеет ограничения функциональности - в нём не предусмотрен режим отладки и не поддерживается отправка отчётов о нарушениях политики безопасности.