Places UI Kit: यह इस्तेमाल के लिए तैयार लाइब्रेरी है. इससे डेवलपर को अपनी ज़रूरत के मुताबिक बदलाव करने और कंट्रोल करने की सुविधा मिलती है. इसे आज़माएं और यूआई किट के इस्तेमाल से जुड़ा अपना अनुभव शेयर करें.

कॉन्टेंट की सुरक्षा के लिए बनी नीति की गाइड

इस दस्तावेज़ में, Maps JavaScript API के लिए वेबसाइट के कॉन्टेंट की सुरक्षा के बारे में नीति (सीएसपी) को कॉन्फ़िगर करने के तरीके के बारे में सुझाव दिए गए हैं. आखिरी उपयोगकर्ता अलग-अलग तरह के ब्राउज़र और उनके वर्शन इस्तेमाल करते हैं. इसलिए, डेवलपर को इस उदाहरण को रेफ़रंस के तौर पर इस्तेमाल करने का सुझाव दिया जाता है. साथ ही, उन्हें तब तक इसमें बदलाव करने चाहिए, जब तक सीएसपी के उल्लंघन न हों.

कॉन्टेंट की सुरक्षा के बारे में नीति के बारे में ज़्यादा जानें.

सख्त सीएसपी

हमारा सुझाव है कि सुरक्षा से जुड़े हमलों की संभावना को कम करने के लिए, अनुमति वाली कार्रवाइयों की सूची वाली सीएसपी के बजाय, सख्त सीएसपी का इस्तेमाल करें. Maps JavaScript API, nonce-आधारित सख्त सीएसपी के इस्तेमाल की सुविधा देता है. वेबसाइटों को script और style दोनों एलिमेंट में, nonce वैल्यू डालनी होगी. Maps JavaScript API, इंटरनल तौर पर ऐसे पहले एलिमेंट को ढूंढ लेगा. इसके बाद, एपीआई स्क्रिप्ट से जोड़े गए स्टाइल या स्क्रिप्ट एलिमेंट पर, इसकी nonce वैल्यू लागू कर देगा.

उदाहरण

यहां सीएसपी का एक सैंपल दिया गया है. इसके साथ ही, एक एचटीएमएल पेज भी दिया गया है, जिसमें इसे एम्बेड किया गया है:

कॉन्टेंट की सुरक्षा के बारे में नीति का सैंपल

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

एचटीएमएल पेज का सैंपल

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

अनुमति वाली कार्रवाइयों की सूची वाली सीएसपी

अगर आपने अनुमति वाली कार्रवाइयों की सूची वाली सीएसपी सेट अप की है, तो कृपया Google Maps के डोमेन की सूची देखें. हमारा सुझाव है कि अप-टू-डेट रहने के लिए, इस दस्तावेज़ और Maps JavaScript API के रिलीज़ नोट देखें. साथ ही, अगर ज़रूरत हो, तो अनुमति वाली कार्रवाइयों की सूची में, किसी नई सेवा का डोमेन शामिल करें.

जिन वेबसाइटों पर Maps JavaScript API, Google API के पुराने डोमेन (उदाहरण के लिए, maps.google.com) या इलाके के हिसाब से बने डोमेन (उदाहरण के लिए, maps.google.fr) से लोड होता है उन्हें अपने सीएसपी की script-src सेटिंग में, इन डोमेन के नाम भी शामिल करने होंगे. जैसा कि यहां दिए गए उदाहरण में दिखाया गया है:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;