Антивирусная проверка сайта: Проверить ссылку на вирусы онлайн

Веб-сервисы для проверки сайтов на вирусы / Хабр

Рано или поздно веб-разработчик, веб-мастер или любой другой специалист, обслуживающий сайт, может столкнуться с проблемами безопасности: ресурс попадает под санкции поисковой системы или начинает блокироваться антивирусом, с хостинга могут прислать уведомление об обнаружении вредоносного кода, а посетители начинают жаловаться на всплывающую рекламу или редиректы на “левые” сайты.

В этот момент возникает задача поиска источника проблемы, то есть диагностики сайта на проблемы безопасности. При грамотном подходе диагностика состоит из двух этапов:

1. проверки файлов и базы данных на хостинге на наличие серверных вредоносных скриптов и инжектов,
2. проверки страниц сайта на вирусный код, скрытые редиректы и другие проблемы, которые, порой, невозможно выявить статическим сканером файлов.

Предположим, вы уже проверили файлы на хостинге специализированными сканерами и почистили аккаунт хостинга от «вредоносов» (или ничего подозрительного на нем не нашлось), но поисковик все равно ругается на вирусный код или на сайте по-прежнему активен мобильный редирект.

Что делать в этом случае? На помощь приходят веб-сканеры, которые выполняют динамический и статический анализ страниц сайта на вредоносный код.

Немного теории

Статический анализ страниц – это поиск вредоносных вставок (преимущественно javascript), спам-ссылок и спам-контента, фишинговых страниц и других статических элементов на проверяемой странице и в подключаемых файлах. Обнаружение подобных фрагментов выполняется на основе базы сигнатур или некоторого набора регулярных выражений. Если вредоносный код постоянно присутствует на странице или в загружаемых файлах, а также известен веб-сканеру (то есть он добавлен в базу сигнатур), то веб-сканер его обнаружит. Но так бывает не всегда. Например, вредоносный код может загружаться с другого ресурса или выполнять какие-то несанкционированные действия при определенных условиях:

• по завершении загрузки страницы в нее добавляется javascript, который выполняет drive-by download атаку
• пользователь уходит со страницы, в этот момент подгружается код и открывает popunder с контентом “для взрослых”
• посетитель сайта находится на странице несколько секунд и только после этого его перенаправляют на платную подписку за смс
• и т. п.

Несколько таких примеров:

Если заранее неизвестно, какой код провоцирует данные несанкционированные действия, то обнаружить его статическим анализом чрезвычайно сложно. К счастью, есть анализ динамический или иногда его еще называют “поведенческим”. Если веб-сканер умный, он будет не просто анализировать исходный код страницы или файлов, но еще и пытаться совершать какие-то операции, эмулируя действия реального посетителя. После каждого действия или при определенных условиях робот сканера анализирует изменения и накапливает данные для итогового отчета: загружает страницу в нескольких браузерах (причем, не просто с разных User-Agent’ов, а с разными значениями объекта navigator в javascript, разными document.referer и т.п.), ускоряет внутренний таймер, отлавливает редиректы на внешние ресурсы, отслеживает то, что передается в eval(), document.write() и т.п. Продвинутый веб-сканер всегда будет проверять код страницы и объекты на ней как до начала выполнения всех скриптов (сразу после загрузки страницы), так и спустя некоторое время, поскольку современные “вредоносы” динамически добавляют или скрывают объекты на javascript, а также выполняют фоновые загрузки внутри динамических фреймов.

Например, код зараженного виджета может через 3 секунды или по движению мыши загрузить скрипт, который вставит на страницу javascript с редиректом на загрузку опасного .apk файла. Естественно, никакой статический анализ (кроме как заранее знать, что виджет опасен) или поиск по файлам такое не выявит.

А теперь, с пониманием требований к диагностике сайта и веб-сканерам, попробуем найти те, которые действительно эффективны. К сожалению, то что представлено на первой странице поисковика по запросу “проверить сайт на вирусы онлайн” сразу никуда не годится. Это или “поделки”, которые в лучшем случае могут выполнить статический анализ страницы (например, найти IFRAME, который может быть и не опасен), или агрегаторы сторонних API, проверяющие URL сайта по базе Google Safe Browsing API, Yandex Safe Browing API или VirusTotal API.

Если проверять сайт десктопным антивирусом, то анализ будет скорее всего также статический: антивирус умело блокирует загрузки с известных ему зараженных сайтов, но какого-то глубокого динамического анализа страниц сайта от него не стоит ожидать (хотя некоторые антивирусы действительно обнаруживают сигнатуры в файлах и на странице).

В итоге, после проверки двух десятков известных сервисов, я бы хотел остановиться на представленных ниже.

Веб-сканер QUTTERA

Выполняет поиск вредоносного кода на страницах, используя бессигнатурный анализ. То есть обладает некой эвристикой и выполняет динамический анализ страниц, что позволяет обнаруживать 0-day угрозы. Из приятных особенностей стоит отметить возможность проверки сразу нескольких страниц сайта, поскольку проверять по одной не всегда эффективно.
Хорошо обнаруживает угрозы, связанные с загрузкой или размерещением троянов, завирусованных исполняемых файлов. Ориентирован на западные сайты с их характерными заражениями, но часто выручает и при проверке зараженных сайтов рунета. Поскольку сервис бесплатный, есть очередь на обработку задач, поэтому придется немного подождать.

Веб-сканер ReScan.pro

Выполняет динамический и статический анализ сайта. Поведенческим анализом детектятся скрытые редиректы, статический анализ ищет вирусные фрагменты на страницах и в загружаемых файлах, а базой черного списка определяются ресурсы, загружаемые с зараженных доменов. Ходит по внутренним ссылкам, поэтому кроме основного URL проверяет еще несколько смежных страниц сайта. Приятным дополнением является проверка сайта по блек-листам Яндекс, Google и VirusTotal. Ориентирован в основном на вредоносы, которые обитают в рунете. Поскольку сервис бесплатный, лимит на проверку – 3 запроса с одного IP в сутки.

Веб-сканер Sucuri

Ищет вирусный код по сигнатурам и с помощью эвристики. Отправляет запросы к нескольким URL на сайте с различными User Agent / Referer. Обнаруживает спам-ссылки, дорвей-страницы, опасные скрипты. Кроме того, умеет проверять актуальные версии CMS и веб-сервера. Ограничений на число проверок не замечено. Из небольшого минуса обнаружилось, что список проверенных сайтов с результатами индексируется поисковыми системами, то есть можно посмотреть, какой сайт и чем был заражен (сейчас в поисковом индексе около 90 000 страниц), тем не менее эффективности сканера это не умаляет.

Redleg’s File Viewer

Еще один западный веб-сканер сайтов. Может немного отпугивать своим аскетичным интерфейсом из 90-х, но, тем не менее, он позволяет выполнить полноценный статический анализ сайта и подключенных на странице файлов. При сканировании пользователь может задать параметры User Agent, referer, параметры проверки страницы. В настройках есть проверка страницы из кэша Google. Лимитов на проверку сайтов не обнаружено.

VirusTotal

Ну и, наконец, знакомый многим VirusTotal. Он не является в полной мере веб-сканером, но его также рекомендуется использовать для диагностики, так как он является агрегатором нескольких десятков антивирусов и антивирусных сервисов.

***

Упомянутые веб-сканеры можно добавить в закладки, чтобы при необходимости провести диагностику сразу эффективными инструментами, и не тратить время на платные или неэффективные сервисы.

Проверить сайт на вирусы — это просто

Опубликовано в Проверка веб-сайтов   11 Июня, 2014

Все вы, вероятно, видели хотя бы однажды предупреждение «Сайт может угрожать безопасности вашего компьютера» на красном фоне в своем Google Chrome или Yandex Browser при попытке посетить какую-либо страницу. Кроме того, скорее всего вы замечали в результатах выдачи поисковых систем ресурсы, отмеченные как «Сайт может представлять угрозу».

Причина — вредоносный код может создать вам же массу неприятностей, начинающихся с вовлечения вашего устройства в ботнет (хакерская сеть для совершения анонимных атак) и заканчивающихся кражей паролей, банковских кодов, ваших персональных данных, другой информации, представляющей ценность. Но это лишь вершина айсберга, понятная пользователям. В это же время для владельца отметка в черных списках поисковых систем сулит большую проблему, в решении которой раньше ему мало кто мог помочь.

Перед владельцем и администратором стоит проблема поиска конкретного вредоносного кода — различные виды угроз: трояны, поисковые и мобильные редиректоры, шеллы, бэкдоры и другие вредоносные коды, которые могут находиться в различных файлах (или в изощренных случаях в их комбинациях) в большом количестве. На одном сайте может быть заражено до 10 тысяч файлов (пример из нашей практики), причем в каждом из них может быть прописан вредоносный код не от одного, а от многих зловредов. Virusdie.ru дает возможность проверить на вирусы, а также вылечить автоматически, удалив вредоносные файлы или излечив их.

О том, как вирусы попадают на сайт и как от этого защититься мы писали в предыдущих постах. Сегодня же мы дадим общие сведения о том, в каких файлах могут находится вредоносные коды, как Яндекс и Гугл находят их, как помечают сайты в блэклистах и о том, как вылечить сайт при помощи Вирусдая.

Как проверяют сайты Яндекс и Гугл

Яндекс и Гугл имеют специальные сервисы, отвечающие за отметки потенциально опасных сайтов в поисковой выдаче и за снятие таких отметок. Такие сервисы у обеих компаний имеют одинаковое название Safebrowsing (безопасный браузинг). Для определения наличия вредоносных кодов используются специальные краулеры и базы данных сигнатур вирусов специализированных антивирусных компаний, поставляющих, скажем, антивирусные решения и средства серверной защиты. Так, например, за определение наличия вредоносного кода для Yandex Safebrowsing отвечает компания Sophos, а Гугл пользуется несколькими базами, в том числе, базой Opera (Да, именно базой разработчика одноименного браузера).

В данном случае речь идет именно о «поверхностном сканировании», т.е. о проверке кода доступных файлов *.JS и *.HTML, *.CSS, а также, о проверке по действию (выявление редиректов и пр.). Кончено, в большинстве случаев выявить полный вредоносный код так не получится (поскольку он в большинстве случаев находится в *.PHP файлах и доступен только с сервера ресурса), но определить сам факт наличия угрозы для пользователя представляется возможным.

Здесь также следует понимать, что большинство угроз находится в *.PHP файлах (60% — PHP файлы, 40% — другие типы файлов), особенно шеллы и бэкдоры, определить которые возможно при помощи глубокого сканирования исходного PHP кода. Также следует помнить, что найденный поверхностным сканированием HTML код — это совсем не тот код, который отвечает за его генерацию в PHP.

Как произвести поверхностную проверку сайта на вирусы

Мы ведем разработку бота для поверхностной проверки, поэтому, в случае если вы не хотите использовать бесплатное глубокое сканирование сервиса Вирусдай, мы рекомендуем использовать сервис virustotal.

com, принадлежащий сейчас Гугл. Данный сервис хотя и не позволяет увидеть фрагмент обнаруженного вредоносного кода или вылечить сайт, но определяет вердикт сразу по более чем 20 антивирусным базам.

Как произвести глубокую проверку сайта на вирусы

Как вы уже знаете, видимый HTML код и PHP код, содержащий вирус — это абсолютно разные вещи. Также нужно помнить, что часто файлы бывают обфусцированными (код запутан самим разработчиком для усложнения задачи изменения исходного кода) и зашифрованными, однако, это не означает, что они содержат вредоносный код. С другой стороны, кажущийся на первый взгляд нормальным код может быть действительно вредоносным.

Для полного сканирования (HTML, JS, PHP, CSS и т.д.) мы рекомендуем синхронизовать сайт с антивирусом Вирусдай и произвести тотальную проверку. В случае, если сканер показал факт заражения — произведите автоматическое лечение (удаление вирусов), поскольку увиденный поисковыми роботами вредоносный код и помещение в черный список не только снизит поток пользователей на ваш ресурс, но и серьезно обрушит его позиции в поисковой выдаче, на восстановление которых может уйти несколько месяцев или лет.

Теперь Вирусдай будет автоматически сканировать сайт до четырех раз в день и извещать вас об обнаруженных угрозах, которые вы сможете автоматически удалить нажатием одной кнопки из панели управления антивируса.

Защитите ваш веб -сайт от Hacks & Attacks

• Веб -эмбранк (WAF)
• Мониторинг и обнаружение
• Ответ инцидента
• Boost
• САМЕТ САМЕТ
• Как начать
• Как мы это делаем
• .

Защита от вредоносных программ и взломов

Защитите свой сайт от взломов и атак. Наш брандмауэр веб-приложений (WAF) и система предотвращения вторжений (IPS) обеспечивают необходимую защиту от веб-угроз. Позвольте нам сохранить трафик и рейтинг вашего сайта, повысив производительность вашего сайта.

Защита моего веб-сайта

Чат сейчас

Защита от вредоносных программ и взломов

Мы защищаем ваш веб-сайт от вредоносного кода и предотвращаем взлом веб-сайта с помощью нашего брандмауэра веб-приложений (WAF).

Защита от эксплойтов нулевого дня

Каждый день хакеры обнаруживают новые уязвимости. Мы защищаем сайты и пресекаем подозрительное поведение. Для устранения новых угроз редко требуется исправление.

Защита от DDoS-атак

Распределенные атаки типа «отказ в обслуживании» (DDoS) могут привести к простоям. Мы блокируем DDoS-атаки уровней 3, 4 и 7.

Защита от атак грубой силы

Автоматизированные хакерские инструменты нацелены на все сайты. Мы останавливаем атаки грубой силы и взлом паролей, чтобы предотвратить злоупотребление сайтом.

Как мы защищаем ваш веб-сайт от взлома

Виртуальное исправление и укрепление безопасности

Если обновление безопасности выпущено, но вы не можете обновить свой сайт, он становится легкой мишенью для хакеров. Мы постоянно обновляем патчи и правила сервера для защиты вашего сайта.

Машинное обучение

Защитите свой веб-сайт от новых угроз безопасности. Мы сопоставляем данные об атаках в нашей сети, чтобы лучше понять вредоносное поведение и обеспечить безопасность вашего сайта.

Защищенные страницы

Добавьте еще один уровень защиты к конфиденциальным страницам, включив функцию защищенной страницы. Добавьте пароли, CAPTCHA, 2FA (через Google Authenticator) или белый список IP-адресов.

Список разрешенных IP-адресов

IP-адреса, внесенные в белый список, гарантируют, что только ваша команда может получить доступ к административным областям веб-сайта. Ограничьте свои панели администратора, чтобы злоумышленники не получили доступ.

Профилирование приложений

Каждый сайт имеет свою CMS, серверное программное обеспечение и другие технологии в стеке. Мы анализируем весь трафик, чтобы блокировать запросы, которые не соответствуют профилю вашего веб-приложения.

Обнаружение подписи

Весь веб-трафик HTTP/HTTPS проверяется перед поступлением на ваш сервер. С помощью эвристических методов и методов, основанных на сигнатурах, мы блокируем вредоносные запросы и шаблоны атак.

Bad Bot Blocking

Когда наши системы обнаруживают вредоносный бот или хакерский инструмент, пытающийся атаковать ваш сайт, он автоматически блокируется. Мы защищаем ваш сайт от попыток эксплуатации уязвимостей.

Геоблокировка

Большинство атак на веб-сайты происходят только из нескольких стран. Заблокируйте всех посетителей из трех стран с наибольшим количеством атак одним щелчком мыши или выберите, какие страны блокировать.

4%

Веб -трафик — это злонамеренное

37K

Веб -сайты взломаны ежедневно

125%

DDOS ATTATIC EGINAT0046

1

Добавьте свой сайт в брандмауэр веб-сайта Sucuri

После регистрации просто введите доменное имя своего веб-сайта, чтобы начать работу. Если ваш сайт подвергается серьезной DDoS-атаке, выберите вариант «В настоящее время я подвергаюсь атаке». Вы также можете ограничить доступ администратора к разрешенным IP-адресам. Доступны дополнительные параметры настройки.

2

Активировать защиту веб-сайта

Включите брандмауэр веб-сайта, изменив записи DNS. При активации брандмауэр перехватывает и проверяет все входящие пакеты HTTP/HTTPS, чтобы убедиться, что на ваш сервер поступают только безопасные запросы. Наши аналитики всегда рады настроить его для вас.

3

Добавление SSL и защита данных при передаче

Мы автоматически создадим SSL-сертификаты (HTTPS) через Let’s Encrypt для вашего сервера брандмауэра. Планы Professional или Business могут загружать собственные SSL-сертификаты. Вы можете открыть билет поддержки в любое время, если вам нужна помощь.

4

Выберите один из вариантов кэширования

Усильте свой веб-сайт с помощью нашей доставки контента. Мало того, что ваш сайт защищен от взлома и атак, скорость сайта оптимизирована благодаря нашему высокопроизводительному кэшированию.

Часто задаваемые вопросы

Что такое защита от вредоносных программ?

Какие вредоносные программы мы удаляем?

Какие черные списки мы удаляем?

Что такое SEO-спам?

Как вы защищаете мой сайт?

Как удалить бэкдоры?

С чего начать?

Будет ли защита замедлять работу моего сайта?

Как остановить DDoS-атаки?

Что такое политика безопасности контента и как реализовать передовой опыт

Владельцу веб-сайта полезно знать о проблемах безопасности, которые могут повлиять на ваш сайт. Например, атаки с использованием межсайтовых сценариев (XSS) состоят из внедрения вредоносных сценариев на стороне клиента в веб-сайт и использования веб-сайта в качестве метода распространения.

Вероятно, вы также знаете, что клиентские сценарии можно запрограммировать практически на все, что угодно. Они могут быть такими же простыми, как отображение предупреждающего сообщения на вашем веб-сайте, анимация изображений, майнинг криптовалют или отображение всплывающих окон, содержащих фармацевтические продукты NSFW.

Важно понимать, что когда злоумышленники находят веб-сайт уязвимым для XSS-атак, у них есть два варианта внедрения в него вредоносных скриптов:

• Встроенный скрипт : когда злоумышленники помещают свой код непосредственно в HTML-код вашего веб-сайта.
• Загрузить сценарий с внешнего домена : злоумышленники загружают сценарий с нескольких зараженных сайтов и изменяют его по мере необходимости. Все изменения будут отражены на этих сайтах.

Загрузка сценариев из внешнего домена является предпочтительным методом для злоумышленников.

XSS-атаки возможны, потому что браузеры доверяют всем запросам, поступающим с вашего веб-сайта, встроенным или из внешнего источника. Этот пост призван познакомить вас с инструментом, который может помочь вам снизить некоторые риски XSS-атак .

Что такое политика безопасности содержимого?

Согласно веб-сайту W3, Content Security Policy (CSP):

Инструмент, который разработчики могут использовать для блокировки своих приложений различными способами, снижая риск уязвимостей, связанных с внедрением контента, таких как межсайтовые сценарии, и уменьшая привилегия, с которой выполняются их приложения.

CSP делает это, позволяя веб-разработчикам определять такие директивы, как:

• Выполнять весь код, поступающий из моего домена (например, awesomedomain.com)
• Выполнять весь код, поступающий из внешнего доверенного домена и поддоменов (например, *. trusteddomain.com)
• Не выполнять ничего, кроме скрипта awesomedomain.com/script.min.js
• Не выполнять JavaScript
• Показать только изображения с cdn.securecdn.com
• Смесь прошлых примеров и многое-многое другое!

Firefox будет учитывать вторую версию CSP, начиная с версии 31, Chrome , начиная с версии 40, и Safari , начиная с версии 10. Браузеры, которые не поддерживают его, просто игнорируют его.

Как определить CSP?

Каждый CSP состоит из двух частей:

• Первая часть представляет собой набор директив, которые сообщают браузерам посетителей вашего сайта, как управлять определенными ресурсами вашего сайта.
• Вторая часть — это распоряжение, которое сообщает браузерам, следует ли применять CSP или нет.

Мы поговорим о размещении CSP позже в этом посте.

Давайте посмотрим на пример того, как мы можем определить политику для JavaScript с помощью директивы script-src.

 Content-Security-Policy: script-src 'none' 

Эта директива предотвратит выполнение JavaScript в браузерах, которые соблюдают политику безопасности содержимого.

Теперь, когда мы создали одну директиву, давайте на мгновение остановимся и посмотрим, как мы можем доставить ее в браузер посетителей вашего сайта. У вас есть два варианта:

Первый вариант — использовать тег HTML, который следует размещать как можно раньше в HTML-коде ваших веб-страниц.

Вот как можно настроить директиву script-src для блокировки всего JavaScript в теге < meta >:

Второй метод заключается в использовании заголовка HTTP-ответа Content-Security-Policy.

Например, если вы используете Apache, вы можете определить CSP в httpd.conf , VirtualHost или .htaccess файл вашего сайта.

Просто добавьте это так (тот же пример блокирует весь JavaScript):

 Набор заголовков Content-Security-Policy «script-src 'none';» 

Второй способ считается более безопасным и, собственно, сам W3 рекомендует именно так обслуживать CSP.

Какие примеры политик можно привести?

Прежде всего, давайте посмотрим на некоторые директивы, которые мы можем определить в наших политиках:

• script-src ограничит место, из которого выполняются сценарии (а также заблокирует встроенные сценарии и функцию eval()).
• media-src ограничит место, из которого загружаются видео, аудио и связанные с ними ресурсы текстовой дорожки.
• frame-src ограничит место, из которого загружаются iFrames.
• img-src ограничит место загрузки изображений.
• font-src ограничит место, из которого загружаются файлы шрифтов.
• style-src ограничит место загрузки файлов .css (а также заблокирует встроенные стили).
• default-src применит политику безопасности к child-src, connect-src, font-src, frame-src, img-src, manifest-src, media-src, media-src, object-src, script-src, style-src и worker-src, где они сами не определены (сэкономит вам ввод текста!).

Вы можете увидеть полный список директив, которые вы можете установить на веб-сайте W3.

Во-вторых, давайте посмотрим некоторые из ключевых слов/значений вы можете установить свои директивы на:

• «none» не будет соответствовать ничему — это означает, что все элементы, контролируемые директивой, будут заблокированы (см. наш пример блокировки всего JavaScript на странице).
• «я» будет соответствовать происхождению текущего URL-адреса (URL-адрес вашего веб-сайта).
• «https://*» будет соответствовать всем ресурсам, загружаемым через HTTPS.
• ‘*.awesomedomain.net’ будет соответствовать домену awesomedomain.net, а все поддомены
  ‘https://awesomedomain.net/script.js’ будут соответствовать только скрипту script.js в домене awesomedomain.net через HTTPS.

Теперь рассмотрим несколько конкретных примеров.

Пример 1:

CSP Разрешение только JavaScript на вашем сайте Политика безопасности: script-src ‘self’; img-src «я»;

Пример 3:

CSP Разрешено размещение только JavaScript на вашем сайте и cdn. trustedorigin.net, но размещение изображений везде

 Content-Security-Policy: script-src 'self' cdn.trustedorigin.net; img-источник *; 

Пример 4:

CSP блокирует iFrames на вашем сайте

 Content-Security-Policy: frame-src 'none;' 

Пример 5:

CSP блокирует все отправки форм на вашем сайте

 Content-Security-Policy форма-действие 'нет'; 

Пример 6:

CSP разрешает только файл script.js на https://trustedorigin.net/ и значения по умолчанию child-src, connect-src, font-src, frame-src, img-src, manifest -src, media-src, media-src, object-src, script-src, style-src и worker-src в источник текущего URL-адреса

 Content-Security-Policy default-src ‘self’; источник сценария https://trustedorigin.net/script.js; 

Как проверить CSP?

Как мы упоминали ранее, важно знать, что у каждой политики есть диспозиция, которая может быть либо « применять », либо « сообщать ».

Расположение «принудительно» применяет CSP, в то время как «отчет» позволяет разработчикам экспериментировать с политикой, фактически не применяя ее.

Вы можете сделать это, определив 9Заголовок 0156 Content-Security-Policy-Report-Only вместо заголовка Content-Security-Policy и добавление директивы report-uri с URL-адресом, по которому вы хотели бы видеть отчеты о нарушениях CSP.

Идея здесь в том, что вы можете исправить любое случайное нарушение вашей политики, прежде чем применять его.

Заголовок Content-Security-Policy-Report-Only не поддерживается внутри элемента.

Как устранить предупреждения о смешанном содержимом с помощью CSP?

Вы можете решить проблему предупреждений о смешанном содержимом с помощью CSP, определив директиву upgrade-insecure-requests , которая сделает всю тяжелую работу за вас.

Когда вы используете update-insecure-requests в своем CSP, все HTTP-запросы обновляются браузером до HTTPS перед выполнением сетевых запросов.

Если на вашем сайте есть что-то вроде этого:

Будет запрошено, как если бы это было так:

Вы также можете сделать еще один шаг и добавить следующую директиву в свой CSP:

 block-all-mixed-content 

Как следует из названия директивы, она будет блокировать весь контент, недоступный через HTTPS.

Считалось, что директивы upgrade-insecure-requests и block-all-mixed-content поддерживают безопасность вашего сайта, поэтому они будут блокировать ресурсы, недоступные через HTTPS. Будьте осторожны с этими директивами, так как они могут сломать ваш сайт.

Помните, что браузеры, не поддерживающие CSP вашего сайта, все равно будут отображать предупреждения о смешанном содержании на вашем сайте. Это не следует считать полным решением проблемы. Вы можете узнать больше о том, как решить основную проблему предупреждений о смешанном содержимом, в этом сообщении блога и в нашем бесплатном руководстве по установке SSL-сертификата.