Sicherheitsanforderungen für Google Optimize

Optimize für Websites verwenden, für die eine Sicherheitsrichtlinie (Content Security Policy, CSP) gilt

Wenn für Ihre Website eine CSP in HTTP-Headern oder ein <META>-Tag verwendet wird, müssen Sie die Google Optimize- und Google Analytics-Domains einschließen, um Google Optimize zu verwenden.

Statt allem, was ein Server ausliefert, blind zu vertrauen, wird von der CSP der Content-Security-Policy-HTTP-Header definiert, mit dem Sie eine weiße Liste von Quellen mit vertrauenswürdigen Inhalten erstellen können. So werden vom Browser nur Ressourcen aus diesen Quellen ausgeführt oder gerendert.

- Google Developers

Fehler im Zusammenhang mit der CSP beheben

In den folgenden Fällen müssen Sie die CSP anpassen, um Optimize zu verwenden:

a) Im Browser wird eine solche Fehlermeldung angezeigt:

Auf dieser Seite werden Sicherheitsfunktionen verwendet, die nicht mit dem Optimize-Editor kompatibel sind.

b) Bei den Google-Entwicklertools sehen Sie eine solche Fehlermeldung:

Refused to execute optimize.google.com because it violates the following Content Security Policy directive…

CSP anpassen

Damit Ihre CSP in Tests und -Personalisierungen von Optimize einbezogen, ausgeführt und als Vorschau angezeigt werden kann, muss sie die folgenden Anweisungen enthalten:


script-src https://www.google-analytics.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com

 

Damit Sie den visuellen Editor von Optimize verwenden können, muss Ihre CSP folgende Anweisungen enthalten.


script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Wenn Ihre Website schon über eine CSP verfügt, müssen Sie die oben aufgeführten Beispiele den bestehenden Anweisungen hinzufügen.

Optimize und Einschränkungen beim Framing von Seiten

Manchmal wird eine solche Fehlermeldung angezeigt:

Auf dieser Seite werden Sicherheitsfunktionen verwendet, die nicht mit der mobilen Optimize-Bearbeitung kompatibel sind.

Das kann folgende Gründe haben:

Bei der Desktop-Ansicht des Optimize-Editors gibt es keine Einschränkungen bezüglich der Sicherheitsanweisungen für Frames oder Seitentechniken, die das Framing unterbinden. Dies wird auch Frame-Busting genannt. Wenn Sie jedoch die Optionen für die mobile Ansicht des visuellen Editors von Optimize verwenden möchten, muss auf Ihrer Seite das Framing der eigenen Website erlaubt sein.

Wenn auf Ihrer Website die der X-Frame-Options-Antwortheader mit dem Wert deny verwendet wird, können Sie die mobile Bearbeitung nicht nutzen.

Auf vielen Websites lässt sich das Problem umgehen, indem die Einschränkung gelockert und zu X-Frame-Options: sameorigin geändert wird. Das gilt beispielsweise für Websites ohne von Nutzern erstellte Inhalte und Domains, die nur mit vertrauenswürdigen Seiten geteilt werden.

Mit X-Frame-Options: sameorigin ist das Framing Ihrer Seiten nur von Ihrer Website und nicht von anderen Websites möglich.

Weitere Informationen zu X-Frame-Options finden Sie hier.

Alternativ können Sie über den Computer Änderungen am visuellen Editor für mobile Nutzer vornehmen. Verwenden Sie dazu bei Stiländerungen und beim CSS-Code einfach Medienabfragen und prüfen Sie anschließend die mobilen Funktionen in der Vorschau.

Framing-Fehler beheben

Verwenden Sie Google-Entwicklertools, um die aktuelle CSP Ihrer Website zu überprüfen. Wenn Sie in der Konsole Fehler wie den folgenden entdecken, müssen Sie die CSP anpassen, um Optimize zu verwenden:

Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.
War das hilfreich?
Wie können wir die Seite verbessern?