Леонид Каганов: дневник

Пять лет назад мы обсуждали подлецов-провайдеров, которые вставляют свою рекламу в страницы чужих сайтов. Там даже оборудован срипт, который это показывает (хотя обычно вставляют они свое дерьмо не каждый раз и поймать их за руку тяжело). В тот год я ушел к провайдеру Onlime потому что он был чист в этом смысле. Но шло время, Onlime был куплен Ростелекомом, и вот сегодня я увидел вверху своего собственного сайта большой рекламный баннер кухонной техники или что-то в этом роде.

Огорчился.

И решил, что надо вообще на любой странице движка определять внедрившиеся скрипты (то есть все, кроме белого списка). К сожалению, средствами JS никак нельзя заблокировать загрузку внедрившихся скриптов, поэтому движок предлагает посетителю открыть ту же страницу через https.

Заодно поставил писать логи всех внедряемых скриптов. Очень поучительно, откройте его...

Единственная проблема: не очень пока представляю, как ловушка говна будет работать со страницами движка, в которых я мог сам использовать внешние скрипты, не входящие в белый список. А также как будут работать всякие расширения Хрома, веб-вью в приложениях-клиентах и прочая ересь. Если заметите какие-то странности — пишите.

Вообще конечно https должен спасти всех, используйте по возможности его. Хотя я не готов пока полностью запретить http на своем сайте по совокупности технических нюансов.