Leitfaden zur Sicherheit von Inhalten

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Dokument enthält Empfehlungen zur Konfiguration der Content Security Policy (CSP) der Website für die Maps JavaScript API. Da Endnutzer viele verschiedene Browsertypen und -versionen verwenden, sollten Entwickler dieses Beispiel als Referenz zur Feinabstimmung verwenden, bis keine weiteren Verstöße gegen die CSP vorliegen.

Weitere Informationen zur Content Security Policy

Strikte CSP

Wir empfehlen die Verwendung einer strikten CSP gegenüber einer Zulassungsliste, um die Gefahr von Sicherheitsangriffen zu minimieren. Die Maps JavaScript API unterstützt die Verwendung einer strikten CSP-basierten Lösung. Websites müssen sowohl das script- als auch das style-Element mit einem Nonce-Wert füllen. Intern findet die Maps JavaScript API das erste solche Element und wendet seinen Nonce-Wert auf Stil- oder Skriptelemente an, die vom API-Skript eingefügt werden.

Beispiel

Das folgende Beispiel zeigt einen Beispiel-CSP mit einer eingebetteten HTML-Seite:

Beispiel für die Sicherheitsrichtlinie für Inhalte

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval';
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com

Beispiel-HTML-Seite

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

CSP auf die Zulassungsliste setzen

Wenn Sie die CSP auf die Zulassungsliste gesetzt haben, finden Sie weitere Informationen in der Liste der Google Maps-Domains. Wir empfehlen dir, dich in diesem Dokument und in den Versionshinweisen zur Maps JavaScript API zu informieren und gegebenenfalls neue Dienstdomains auf die Zulassungsliste zu setzen.

Websites, die die Maps JavaScript API über eine alte Google APIs-Domain (z. B. maps.google.com) oder eine regionsspezifische Domain (z. B. maps.google.fr) laden, müssen diese Domainnamen außerdem in ihrer CSP-Einstellung script-src angeben, wie im folgenden Beispiel gezeigt:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com