Ошибка Content Security Policy?

fessss, Да, на back-end. Конфиг Herlmet находится там.

Как сделать плагин так, что бы он стал реактивным в шаблоне?

Сам спросил - сам ответил. Приятно поговорить с умным человеком :)

Как выловить вирус, если он только для определённого провайдера?

xonar, на http:-соединениях Tele2 постоянно вставляет свои баннеры на все посещаемые сайты. Только https: спасает.

Есть ли смысл становиться самозанятым?

Владимир Коротенко, вы зачем читаете сказки про Великобританию, да ещё и на русском языке?
Ни сами британцы, ни европецы - не регистрируются в полиции.
То, что вы привели, относится к узкой категории мигрантов с определённой категорией виз.
А мигрантам с Residence Permission ничо не требуется.

Я 6 лет прожил в UK с российским гражданством. Получение ВУ, покупка машины, недвижимости - никакая регистрация не требуется. Проверено лично.

Есть ли смысл становиться самозанятым?

Владимир Коротенко, да ну, нафиг. В Великобритании нет никакой прописки.

Причина глюков с сертификатами Let's Encrypt?

Наблюдается. При очередном обновлении слетели все сертификаты *.site.com, поэтому отвалились поддомены. Почему - не знаю, раньше всё работало.
Пришлось руками добавлять wildcards в сертификаты.

Content-Security-Policy: host-source VS 'self': в чем разница?

ifap,

Можно задать something-src *.domain.com, что покроет все подмножество поддоменов известного нам домена

Можно. Только ещё и сам домен надо указать, поскольку *.domain.com не разрешает сам domain.com.
Делайте как вам удобнее, только на публичных доменах типа github.com открывать *.github.com не комильфо.

И есть нюансы - 'self' немного шире чем простое указание *.domain.com domain.com. В браузерах с поддержкой CSP3 'self' разрешает схемы ws: /wss: (вебсокеты).

<img style="something"> можно, согласно одному лишь default-src domain.com

Нельзя, для инлайн-стилей в теге требуется 'unsafe-inline' в директиве style-src.
А на яваскрипте через HTMLElement.style - установить стиль можно, CSP это не запрещает.

Логику можно посмотреть в вебархиве, поскольку на сайте Мозиллы это убрали 5 лет назад. Покликайте на оранжевенькие 'Example', увидите что защищает и от каких от каких типов атак.

Уж если злоумышленник может модифицировать наш HTML-файл, то ему фиолетово, как именно XSSить.

Весь фикус-пикус, что Content Security Policy не даст ему активно XSS-ить, даже в случае модификации HTML-кода. Потому, что до HTTP-заголовка добраться и подменить его не так просто.
А 'unsafe-unline' как раз и нехорошо разрешать, тк скрипт из неразрешённого хост-источника получает контроль над HTML. Браузер не может различить, какую секцию <script>...</script> вставил вембастер, а какую - вредоносы. Поэтому, либо все скрипты из внешних файлов, либо - подписывайте их по 'nonce-value'

Как опредилить на какой сайт ведёт ссылка?

Ваш селектор будет косячить с относительными и бессхемными ссылками:

<a href='/page.html'>link</a>
<a href='//site.com/page2.html'>link 2</a>

И на сайте site.com, ссылку на aaasite.com он будет считать внутренней.

Как каждый день в 00:00 выполнять какое-либо действие на сайте без взаимодействия человека?

А также внешний крон, если своего нет.

Как сделать отображение сайта поисковиком?

Да, такой контент ПС не увидят. Там же по ссылке на Яндекс.Вебмастер это написано.
Роботы-индексаторы ПС не делают аякс-запросы, не заполняют формы и не кликают на кнопки (хотя Google-бот - кликает, и исполняет яваскрипты; он вообще ходит по сайтам настоящим браузером).

Есть ли сейчас работающие бесплатные решения для блокировки Яндекс Советника?

Сломает конечно, если вы не разрешите работу виджетов в правилах CSP.

Также Content Security Policy сломает показ роликов Ютуба, заблокирует работу счётчиков Яндекс Метрики и Google Аналитики, кнопки авторизации через соцсети, реклама и т.п.
CSP заблокирует все картинки, CSS стили, шрифты и скрипты, которые вы загружаете с чужих доменов (включая jQuery).

CSP работает на принципе белых списков, поэтому то, что вы разрешите в директивах CSP - будет работать на сайте. Остальное будет блокироваться.

Как правильно выполнить редирект посредством HTML?

Clay, я не увидел где там intelsib делает подмену URL. Может, принтскрин приаттачите, где показано что там "не так".

Как правильно выполнить редирект посредством HTML?

Clay,

Да, так и есть

Это запрещено системой безопасности браузеров. Иначе вы можете подставить url www.yandex.ru но при этом показывать контент своего сайта. И пользователь не сможет распознать такой подмены (а ещё хлеще будет с интернет-банкингами - подсовывай под именем sberbank.ru свою страницу и лови пароли).

Единственный способ показывать чужую страницу под своим URL - вставить её в <ifame>, как выше отметил ImpAnonym .

Но в силу вышеизложенных причин многие сайты запрещают показывать себя в ифрейме.

Как правильно выполнить редирект посредством HTML?

По редиректу браузер переходит на другую страницу, поэтому меняется и её URL и её контент.
Вы, что, хотите остаться на той же странице, и просто поменять URL, отображаемый в браузере?

Как реализовать авторизацию на сайте?

Philipp, практический пример на Хабре, и rfc5054 к нему.
Получив слитую базу (или перехватив процесс регистрации пользователя на сервере), максимум что сможет злоумышленник - представиться сервером и авторизовать пользователя.

Как реализовать авторизацию на сайте?

Philipp,

тут вам уже ничего не поможет за исключением двухстороннего шифрования с обменом ключами по надежному каналу.
Я думаю, вы врядли собираетесь встречаться с пользователем, чтобы обменяться ключами.

Надёжный канал не нужен, встречаться с пользователем для обмена ключами - тоже.
Задача двухстороннего шифрования решается через Доказательство с нулевым разглашением

Как реализовать авторизацию на сайте?

Сергей Шиловский,

можно перехватить пароль пока он летит к серверу.

При SRP-6a аутентификации пароль вообще не передаётся по сети. Он не перехватывается даже при передаче по http:

Как реализовать авторизацию на сайте?

#, у банковской карты 3 попытки ввода PIN и следует блокировка карты. Поэтому 4-х цифр достаточно для безопасности.

Регистратор просит имена серверов DNS. но не просит IP. Откуда он узнает про IP?

Saboteur, топикстартеру похоже надо было просто вшпилить ссылку на ролик ютуба.
Судя по тексту вопроса - он не понимает элементарных вещей, и путается в терминологии. Но, внезапно, умудрился разобрался с техническим видео про DNS, которое он планирует признать правильным ответом на свой вопрос :)

Как настроить ЧПУ на самописном сайте на PHP?

Там не совсем роутинг в Апаче. У ТС скорее всего 'init.php' лежит в папке, или какой-нибудь <base href> вмешивается. Или URL страницы содержит папки site.com/dir/subdir/.
В результате получается кривой относительный URL. который роутится на index.php.

obemgcabazn укажите url: '/путь_от_корня_сайта/init.php'