Руководство по политике безопасности контента

Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

В этом документе содержатся рекомендации по настройке политики безопасности контента веб-сайта (CSP) для Maps JavaScript API. Поскольку конечными пользователями используются самые разные типы и версии браузеров, разработчикам рекомендуется использовать этот пример в качестве справочного материала, настраивая его до тех пор, пока не прекратятся нарушения CSP.

Узнайте больше о политике безопасности контента .

Строгий CSP

Мы рекомендуем использовать строгий CSP вместо CSP белого списка, чтобы снизить вероятность атак на систему безопасности. Maps JavaScript API поддерживает использование строгого CSP на основе одноразовых номеров. Веб-сайты должны заполнять элементы script и style значением nonce. Внутри Maps JavaScript API найдет первый такой элемент и применит его значение nonce к элементам стиля или скрипта, вставленным скриптом API соответственно.

Пример

В следующем примере показан образец CSP вместе со страницей HTML, в которую он встроен:

Образец политики безопасности контента

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

Пример HTML-страницы

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

CSP белого списка

Если вы настроили CSP белого списка, обратитесь к списку доменов Google Maps . Мы рекомендуем обращаться к этому документу и примечаниям к выпуску Maps JavaScript API, чтобы быть в курсе последних событий, и при необходимости включать любой новый домен службы в белый список.

Веб-сайты, которые загружают Maps JavaScript API из устаревшего домена Google API (например, maps.google.com ) или домена для конкретного региона (например, maps.google.fr ), также должны включать эти доменные имена в свой CSP script-src настройки, как показано в следующем примере:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;