إشعار الأمان: نما إلى علمنا بمشكلة أمنية قد تؤثر في المواقع الإلكترونية التي تستخدم مكتبات معيّنة تابعة لجهات خارجية (بما في ذلك polyfill.io). وقد تؤدي هذه المشكلة في بعض الأحيان إلى إعادة توجيه الزائرين بعيدًا عن الموقع الإلكتروني المقصود بدون معرفة مالك الموقع أو إذنه. وفي السابق، كان يتضمّن العديد من نماذج JavaScript تعريف النص البرمجي polyfill.io. تمت إزالة هذا المحتوى من نماذجنا. إذا كنت قد استخدمت نماذج JavaScript التي تحتوي على هذا التعريف، ننصحك بإزالة التعريف.

تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

دليل سياسة أمان المحتوى

يقدّم هذا المستند اقتراحات حول كيفية ضبط الموقع الإلكتروني. سياسة أمان المحتوى (CSP) لواجهة برمجة تطبيقات JavaScript للخرائط. منذ مجموعة متنوعة من أنواع وإصدارات المتصفحات التي يستخدمها المستخدمون النهائيون والمطورون استخدام هذا المثال كمرجع، والضبط الدقيق تحدث انتهاكات سياسة أمان المحتوى (CSP).

مزيد من المعلومات حول "سياسة أمان المحتوى"

سياسة أمان محتوى (CSP) صارمة

ننصح باستخدام سياسة CSP صارمة زيادة سياسة CSP في القائمة المسموح بها للحدّ من احتمالية وقوع هجمات أمنية. تتيح واجهة برمجة تطبيقات JavaScript للخرائط استخدام سياسة CSP صارمة غير مستندة إلى الهوية. يجب أن تُعبئ المواقع الإلكترونية كلاً من العنصرَين script وstyle بقيمة غير محدّدة. داخليًا، ستعثر واجهة برمجة تطبيقات JavaScript للخرائط على أول عنصر من هذا القبيل، وتطبيق القيمة الخاصة بها على عناصر النمط أو النص البرمجي التي تدرجها واجهة برمجة التطبيقات على التوالي.

مثال

يعرض المثال التالي نموذج سياسة أمان (CSP) بالإضافة إلى صفحة HTML حيث مضمّنة:

نموذج عن سياسة أمان المحتوى

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

نموذج لصفحة HTML

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

إضافة سياسة أمان المحتوى (CSP) إلى القائمة المسموح بها

إذا تم إعداد سياسة CSP في القائمة المسموح بها، يُرجى الرجوع إلى قائمة نطاقات "خرائط Google". نقترح عليك الرجوع إلى هذا المستند و"واجهة برمجة تطبيقات JavaScript للخرائط" ملاحظات الإصدار للبقاء على اطّلاع وإدراج أي نطاق خدمة جديد في القائمة المسموح بها إذا لزم الأمر.

المواقع الإلكترونية التي تحمِّل واجهة برمجة تطبيقات JavaScript للخرائط من واجهة برمجة تطبيقات قديمة نطاق Google APIs (على سبيل المثال maps.google.com) أو نطاق خاص بمنطقة معيّنة (على سبيل المثال maps.google.fr)، يجب أيضًا تضمين أسماء النطاقات هذه في إعداد سياسة أمان المحتوى (CSP) script-src، كما هو موضح في المثال التالي:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;