इस पेज का अनुवाद Cloud Translation API से किया गया है.

सामग्री सुरक्षा नीति गाइड

इस दस्तावेज़ में Maps JavaScript एपीआई के लिए, वेबसाइट की कॉन्टेंट सुरक्षा नीति (सीएसपी) को कॉन्फ़िगर करने का तरीका बताया गया है. असली उपयोगकर्ता, अलग-अलग तरह के ब्राउज़र और वर्शन इस्तेमाल करते हैं. इसलिए, डेवलपर को इस उदाहरण को रेफ़रंस के तौर पर इस्तेमाल करने का सुझाव दिया जाता है. ऐसा तब तक किया जाता है, जब तक सीएसपी में कोई उल्लंघन नहीं होता.

कॉन्टेंट की सुरक्षा के बारे में ज़्यादा जानें.

सख्त सीएसपी

हमारा सुझाव है कि सुरक्षा से जुड़े हमलों की संभावना को कम करने के लिए, आप सीएसपी पर सीएसपी का ज़्यादा इस्तेमाल करें. Maps JavaScript API, गैर-आधारित सख्त सीएसपी के इस्तेमाल की सुविधा देता है. वेबसाइटों को बिना वैल्यू वाली script और style, दोनों एलिमेंट की जानकारी अपने-आप भरनी होगी. इंटरनल तरीके से, Maps JavaScript एपीआई इस तरह का पहला एलिमेंट ढूंढेंगा. और यह अपने बिना वैल्यू की वैल्यू को क्रम में, एपीआई स्क्रिप्ट में डाले गए स्टाइल या स्क्रिप्ट एलिमेंट पर लागू करेगा.

उदाहरण

नीचे दिए गए उदाहरण में, एचटीएमएल पेज को सीएसपी के तौर पर दिखाया गया है, और उसे एम्बेड किया गया है:

कॉन्टेंट की सुरक्षा से जुड़ी नीति का सैंपल

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

सैंपल एचटीएमएल पेज

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

जिन लोगों या संगठनों को अनुमति मिली है उनकी सूची का सीएसपी

अगर आपने सीएसपी को सेट अप करने की अनुमति दी है, तो कृपया Google Maps डोमेन की सूची देखें. हमारा सुझाव है कि आप इस दस्तावेज़ और Maps JavaScript एपीआई के रिलीज़ नोट देखें, ताकि आप अप-टू-डेट रह सकें. अगर ज़रूरी हो, तो सेवा देने वाले किसी भी नए डोमेन को अनुमति वाली सूची में शामिल करें.

जिन वेबसाइटों पर, लेगसी Google API डोमेन (उदाहरण के लिए, maps.google.com) या इलाके के हिसाब से डोमेन (उदाहरण के लिए, maps.google.fr) से Maps JavaScript API लोड होता है उन्हें इन नामों को सीएसपी script-src सेटिंग में भी शामिल करना चाहिए. जैसा कि यहां दिए गए उदाहरण में बताया गया है:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;