सामग्री सुरक्षा नीति गाइड

इस दस्तावेज़ में वेबसाइट को कॉन्फ़िगर करने के तरीके के बारे में सुझाव दिए गए हैं Maps JavaScript API के लिए कॉन्टेंट की सुरक्षा के बारे में नीति (सीएसपी). से असली उपयोगकर्ता और डेवलपर, कई तरह के ब्राउज़र और वर्शन का इस्तेमाल करते हैं हमें इस उदाहरण को रेफ़रंस के तौर पर इस्तेमाल करने का सुझाव दिया जाता है. साथ ही, इसे बेहतर बनाने के लिए इस्तेमाल किया जाना चाहिए सीएसपी के उल्लंघन होते हैं.

कॉन्टेंट की सुरक्षा के बारे में नीति के बारे में ज़्यादा जानें.

सख्त सीएसपी

हमारा सुझाव है कि आप स्ट्रिक्ट सीएसपी का इस्तेमाल करें अनुमति वाली सूची में शामिल सीएसपी की मदद से, सुरक्षा हमलों के जोखिम को कम किया जा सकता है. Maps JavaScript API, नॉन्स पर आधारित सख्त सीएसपी के साथ काम करता है. वेबसाइटों पर, script और style, दोनों एलिमेंट में नॉन्स वैल्यू होनी चाहिए. अंदरूनी रूप से, Maps JavaScript API को इस तरह का पहला एलिमेंट मिलेगा, और इसकी नॉन वैल्यू, एपीआई की मदद से डाले गए स्टाइल या स्क्रिप्ट एलिमेंट पर लागू करें स्क्रिप्ट.

उदाहरण

नीचे दिए गए उदाहरण में, सीएसपी का सैंपल दिखाया गया है. साथ ही, यह एचटीएमएल पेज भी दिखाया गया है जहां यह एम्बेड किया गया:

सैंपल कॉन्टेंट की सुरक्षा के बारे में नीति

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

सैंपल एचटीएमएल पेज

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

जिन लोगों या संगठनों को अनुमति मिली है उनकी सूची में सीएसपी

अगर आपने अनुमति वाली सूची में सीएसपी सेट अप किया है, तो कृपया Google Maps Domains की सूची देखें. हमारा सुझाव है कि आप इस दस्तावेज़ और Maps JavaScript API को देखें प्रॉडक्ट की जानकारी, ताकि आपको अप-टू-डेट रहे. और ज़रूरत पड़ने पर, किसी नए सेवा डोमेन को अनुमति वाली सूची में शामिल किया जा सकता है.

ऐसी वेबसाइटें जो लेगसी से Maps JavaScript API लोड करती हैं Google API डोमेन (उदाहरण के लिए, maps.google.com) या इलाके के हिसाब से डोमेन (उदाहरण के लिए maps.google.fr), यह डोमेन नेम भी शामिल होना चाहिए सीएसपी script-src सेटिंग, जैसा कि इस उदाहरण में दिखाया गया है:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;