Как бы у меня не бомбило от навязывания поисковиками обязательной теперь, фактически, установки SSL-сертификатов на все сайты без разбора, а делать нечего, на важные сайты прошлось поставить, потому что, ну, сами понимаете, наверное, ситуации, когда в топ-10 выдачи 9 сайтов-конкурентов с SSL, и 1 твой, как типа самый умный без SSL, выглядят уже слишком ненормально, чтобы продолжать выпендриваться.

Ведь и Яндекс, и Гугл говорят, что SSL является одним из факторов ранжирования (пусть даже, как мне лично кажется, его важность и находится на уровне выделения ключевых слов курсивом), так что рядовым вебмастерам в итоге один хрен ничего не остается, кроме как смириться и скрепя зубами установить эти долбанные SSL-сертификаты.

О чем, собственно, пост. Не вдаваясь особо в подробности работы SSL, я считал, что после установки SSL отпадет необходимость в настройке CSP, ведь при SSL “все шифруется, блаблабла, никто не сможет добавить в контент (атака MITM) что-то”. Однако, я упустил тут 1 важную деталь - все это так, но только до момента, когда шифрованный контент сайта окажется в твоем браузере и будет им расшифрован для показа.

То есть, до этого момента да, никто не может воткнуть ничего в траффик, например, оборзевшие интернет-провайдеры, которые пихают свою рекламу на HTTP сайтах.

Но вот на стороне браузера уже - может! Знаете, всякие там браузерные дополнения, аддоны, расширения ну и прочие тулбары / адвары / вирусня, которые юзеры часто устанавливают сами себе не от большого ума.

Поэтому, после включения SSL я ожидал увидеть пустующие отчеты блокировок по CSP и, убедившись в этом, хотел убрать их с сайтов, ибо периодическое дописывание правил немного поднадоело. Но увидел, к сожалению, то же самое, что и было - все ту же кучу заблокированных правилами CSP загрузок всякой “левой” херни - трекеров, рекламы и черт знает чего еще.

Так что, если у вас есть сайты с приличной посещаемостью, и вы не хотите, чтобы какие-то “чужие” скрипты, баннеры и трекеры портили им ПФ, то CSP все равно нужно настроить, даже если установлен SSL-сертификат.