Panduan Kebijakan Keamanan Konten

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Dokumen ini berisi rekomendasi cara mengonfigurasi Kebijakan Keamanan Konten (CSP) situs untuk Maps JavaScript API. Karena berbagai jenis dan versi browser digunakan oleh pengguna akhir, developer sebaiknya menggunakan contoh ini sebagai referensi, sehingga tidak ada lagi pelanggaran CSP.

Pelajari Kebijakan Keamanan Konten lebih lanjut.

CSP Ketat

Sebaiknya gunakan CSP ketat daripada CSP yang diizinkan untuk mengurangi kemungkinan serangan keamanan. Maps JavaScript API mendukung penggunaan CSP ketat berbasis nonce. Situs harus mengisi elemen script dan style dengan nilai nonce. Secara internal, Maps JavaScript API akan menemukan elemen pertama tersebut, dan menerapkan nilai nonce-nya ke elemen gaya atau skrip yang disisipkan oleh skrip API.

Contoh

Contoh berikut menunjukkan contoh CSP, beserta halaman HTML tempat materi disematkan:

Contoh Kebijakan Keamanan Konten

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval';
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com

Contoh halaman HTML

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

Daftar CSP yang diizinkan

Jika Anda telah menyiapkan CSP yang diizinkan, lihat daftar Google Maps Domains. Sebaiknya baca dokumen ini dan catatan rilis Maps JavaScript API untuk terus mendapatkan info terbaru, dan sertakan domain layanan baru ke dalam daftar yang diizinkan jika diperlukan.

Situs yang memuat Maps JavaScript API dari domain Google API lama (misalnya maps.google.com) atau domain khusus wilayah (misalnya maps.google.fr), juga harus menyertakan nama domain ini di setelan CSP script-src, seperti yang ditunjukkan dalam contoh berikut:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com