Duyuru: Yakında Google Haritalar Platformu'nda yeni temel harita stili kullanıma sunulacak. Harita stilinde yapılan bu güncelleme; yeni bir varsayılan renk paleti, modernleştirilmiş raptiyeler, harita deneyimleri ve kullanılabilirlik ile ilgili iyileştirmeler içerir. Tüm harita stilleri Mart 2025'te otomatik olarak güncellenecektir. Kullanılabilirlik ve özelliği daha erken etkinleştirme hakkında daha fazla bilgi için Google Haritalar Platformu için yeni harita stili başlıklı makaleyi inceleyin.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

İçerik Güvenliği Politikası Rehberi

Bu belgede, Maps JavaScript API için web sitesi İçerik Güvenliği Politikası'nın (CSP) nasıl yapılandırılacağına dair öneriler sunulmaktadır. Son kullanıcılar tarafından çok çeşitli tarayıcı türleri ve sürümleri kullanıldığından, geliştiricilerin başka İGP ihlali gerçekleşmeden ince ayar yapmak için bu örneği referans olarak kullanmaları önerilir.

İçerik Güvenliği Politikası hakkında daha fazla bilgi edinin.

Katı CSP

Güvenlik saldırısı olasılığını azaltmak için izin verilenler listesi CSP yerine katı CSP kullanmanızı öneririz. Maps JavaScript API, tek seferlik olmayan katı CSP kullanımını destekler. Web siteleri hem script hem de style öğelerini tek seferlik bir değerle doldurmalıdır. Maps JavaScript API, dahili olarak bu türden ilk öğeyi bulur ve nonce değerini sırasıyla API komut dosyası tarafından eklenen stil veya komut dosyası öğelerine uygular.

Örnek

Aşağıdaki örnekte, örnek bir CSP ve bu CSP'nin yerleştirildiği bir HTML sayfası gösterilmektedir:

Örnek İçerik Güvenliği Politikası

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

Örnek HTML sayfası

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

CSP'yi izin verilenler listesine ekleme

İzin verilenler listesindeki CSP'leri ayarladıysanız lütfen Google Haritalar Alan Adları listesine göz atın. En son gelişmeleri kaçırmamak için bu dokümana ve Maps JavaScript API sürüm notlarına göz atmanızı ve gerekirse yeni hizmet alanlarını izin verilenler listesine eklemenizi öneririz.

Maps JavaScript API'yi eski bir Google API'si alanından (ör. maps.google.com) veya bölgeye özgü bir alandan (ör. maps.google.fr) yükleyen web siteleri, aşağıdaki örnekte gösterildiği gibi bu alan adlarını da CSP script-src ayarlarına eklemelidir:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;