reviewsהשקת Places UI Kit: ספריית רכיבים מוכנה לשימוש בעלות נמוכה, שמאפשרת לכם להוסיף לכל מפה שתבחרו את ממשק המשתמש המוכר של 'מקומות' במפות Google. כדאי לנסות אותו ולשלוח לנו משוב כדי לעזור לנו לעצב את העתיד של GMP.
קל לארגן דפים בעזרת אוספים
אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.
במסמך הזה מפורטות המלצות להגדרת מדיניות אבטחת התוכן (CSP) של אתר עבור ממשק API של JavaScript במפות Google. משתמשי הקצה משתמשים במגוון רחב של סוגי דפדפנים וגרסאות, ולכן מומלץ למפתחים להשתמש בדוגמה הזו כהפניה ולבצע התאמות עד שלא יתרחשו יותר הפרות של CSP.
מומלץ להשתמש ב-CSP מחמיר במקום ב-CSP של רשימת היתרים כדי לצמצם את הסיכון למתקפות אבטחה.
Maps JavaScript API תומך בשימוש ב-CSP מחמיר שמבוסס על nonce.
אתרים צריכים לאכלס את האלמנטים script ו-style בערך nonce.
באופן פנימי, Maps JavaScript API ימצא את הרכיב הראשון כזה, ויחיל את ערך ה-nonce שלו על רכיבי סגנון או סקריפט שמוכנסים על ידי סקריפט ה-API בהתאמה.
דוגמה
בדוגמה הבאה מוצגת מדיניות CSP לדוגמה, לצד דף HTML שבו היא מוטמעת:
אם הגדרתם רשימת היתרים של CSP, כדאי לעיין ברשימה של דומיינים של מפות Google.
מומלץ לעיין במסמך הזה ובהערות הגרסה של Maps JavaScript API כדי להתעדכן, ולהוסיף לרשימת ההיתרים כל דומיין שירות חדש שנדרש.
אתרים שבהם נטען Maps JavaScript API מדומיין מדור קודם של Google APIs (לדוגמה maps.google.com) או מדומיין ספציפי לאזור (לדוגמה maps.google.fr), צריכים לכלול גם את שמות הדומיינים האלה בהגדרת ה-CSP script-src שלהם, כמו בדוגמה הבאה:
[[["התוכן קל להבנה","easyToUnderstand","thumb-up"],["התוכן עזר לי לפתור בעיה","solvedMyProblem","thumb-up"],["סיבה אחרת","otherUp","thumb-up"]],[["חסרים לי מידע או פרטים","missingTheInformationINeed","thumb-down"],["התוכן מורכב מדי או עם יותר מדי שלבים","tooComplicatedTooManySteps","thumb-down"],["התוכן לא עדכני","outOfDate","thumb-down"],["בעיה בתרגום","translationIssue","thumb-down"],["בעיה בדוגמאות/בקוד","samplesCodeIssue","thumb-down"],["סיבה אחרת","otherDown","thumb-down"]],["עדכון אחרון: 2025-09-05 (שעון UTC)."],[[["\u003cp\u003eThis document provides recommendations for configuring Content Security Policy (CSP) when using the Maps JavaScript API to ensure compatibility across various browsers.\u003c/p\u003e\n"],["\u003cp\u003eAll websites must specify \u003ccode\u003egoogleapis.com\u003c/code\u003e in their CSP directives by Q2 2023 for the Maps JavaScript API to function correctly.\u003c/p\u003e\n"],["\u003cp\u003eStrict CSP with nonce-based implementation is the recommended approach for enhanced security, requiring websites to add nonce values to \u003ccode\u003escript\u003c/code\u003e and \u003ccode\u003estyle\u003c/code\u003e elements.\u003c/p\u003e\n"],["\u003cp\u003eAllowlist CSP, while supported, requires referencing Google Maps Domains documentation and release notes to keep the allowlist current with new domains.\u003c/p\u003e\n"]]],["Developers should configure their website's Content Security Policy (CSP) for the Maps JavaScript API. Using strict CSP with nonce values for `script` and `style` elements is recommended. Websites must include `googleapis.com` in CSP directives, especially after Q2 2023. The API will apply the first found nonce to its inserted elements. Allowlist CSP users need to consult the list of Google Maps Domains and include any new domains, especially legacy or region-specific ones, in `script-src`.\n"],null,[]]
