Acest articol descrie Politica privind securitatea conținutului (CSP) și cum să o integrați în codul de anunț AdSense. Rețineți că editorii nu sunt obligați să folosească CSP. Dacă doriți să folosiți Politica privind securitatea conținutului (CSP), urmați pașii de mai jos pentru a confirma buna funcționare a codului AdSense când activați Politica privind securitatea conținutului (CSP).
Ce este Politica privind securitatea conținutului (CSP)
Politica privind securitatea conținutului (CSP) este o modalitate de a vă securiza pagina web limitând resursele și scripturile care pot fi încărcate și executate. Puteți activa CSP setând un antet Content-Security-Policy în răspunsurile HTTP de la serverul web.
Există două moduri standard de a configura CSP:
- indicați o listă cu acces permis a domeniilor care își pot injecta resursele în pagină;
- indicați o valoare nonce aleatorie, cu care trebuie marcate resursele din pagină pentru a se încărca. Această abordare este cunoscută sub numele de CSP strict.
Deoarece domeniile folosite de codul de anunț AdSense se schimbă în timp, acceptăm numai CSP strict (opțiunea 2). Această abordare elimină nevoia de a menține o listă actualizată de domenii care ar putea deveni învechite și ar putea să vă blocheze site-ul.
Configurarea unui CSP strict cu codul de anunț AdSense
Pentru a activa CSP pe serverul web, urmați pașii descriși în Adoptați un CSP strict, care explică cum să configurați antetul CSP și să aplicați valoarea nonce fiecărei etichete de script din pagină, inclusiv codului AdSense. Codul AdSense acceptă următoarele directive CSP:
Content-Security-Policy:
object-src 'none';
script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
base-uri 'none';
report-uri https://your-report-collector.example.com/Puteți alege o politică mai permisivă dacă se potrivește situației dvs. de folosire. Politicile mai restrictive se pot defecta fără notificare.
Exemplu de cod
Iată un exemplu de cod AdSense cu CSP strict:
<script nonce="${nonce}" async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-1234&host=ca-host-pub-5678" crossorigin="anonymous">
</script>
<ins class="adsbygoogle"
style="display:inline-block;width:728px;height:90px"
data-ad-client="ca-pub-1234"
data-ad-host="ca-host-pub-5678">
</ins>
<script nonce="${nonce}">
(adsbygoogle = window.adsbygoogle || []).push({});
</script>Testare
Vă recomandăm să testați mai întâi politicile setând antetul Content-Security-Policy-Report-Only în locul Content-Security-Policy. Antetul raportează încălcări, dar le permite în continuare în pagină.