Requisitos de seguridad de Optimize

Utilizar Optimize con sitios web que tengan una política de seguridad del contenido

Si su sitio web utiliza una política de seguridad del contenido (CSP) en los encabezados HTTP o una etiqueta <META>, debe incluir los dominios de Google Optimize y Google Analytics para usar Optimize.

En lugar de confiar en todo el contenido que publican los servidores, la política de seguridad del contenido que defina en el encabezado HTTP Content-Security-Policy le permite crear una lista blanca de fuentes de contenido fiable y hacer que el navegador ejecute o muestre únicamente los recursos de esas fuentes.

- Google Developers

Solucionar errores de CSP

Debe modificar su CSP para utilizar Optimize si se produce lo siguiente:

a) Aparece un error como este en el navegador:

Esta página usa funciones de seguridad que no son compatibles con el Editor de Optimize.

b) Aparece un error como este en las herramientas para desarrolladores de Google:

Refused to execute optimize.google.com because it violates the following Content Security Policy directive... (no se puede ejecutar optimize.google.com porque no cumple las siguientes directrices de la política de seguridad del contenido)

Modificar su CSP

Para ejecutar su CSP, obtener una vista previa e incluirla en experiencias de Optimize como pruebas y personalizaciones, esta debe incluir las siguientes directivas:


script-src https://www.google-analytics.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com

 

Para utilizar el editor visual de Optimize, su CSP debe incluir las siguientes directivas:


script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Si su sitio web ya tiene una CSP, debe incluir las directivas que aparecen más arriba.

Optimize y las restricciones relacionadas con marcos de páginas

Si aparece un mensaje de error como este:

Esta página usa funciones de seguridad que no son compatibles con la edición para móviles de Optimize.

Esto es lo que puede estar pasando:

La vista para ordenadores del Editor de Optimize no tiene restricciones relacionadas con las directivas de seguridad de marcos ni técnicas de página que no los permitan (también conocidas como "frame busting"). No obstante, si desea utilizar las opciones de visualización móvil del editor visual de Optimize, su página debe permitir que su propio sitio web la enmarque.

Si su sitio web utiliza la directiva de encabezados de respuesta X-Frame-Options con el valor "deny", no podrá utilizar la edición móvil.

Una solución aceptable para muchos sitios web (p. ej., sitios web sin contenido generado por usuarios y dominios que no se comparten con páginas poco fiables) es suavizar la restricción con X-Frame-Options: sameorigin.

X-Frame-Options: sameorigin permite que sus páginas sean enmarcadas por su sitio web y no por otros.

Obtenga más información sobre X-Frame-Options en MDN web docs.

Puede hacer cambios para los usuarios de móviles en el editor visual de Optimize —en un ordenador— usando media queries en los cambios de estilo y en el código CSS. Puede obtener una vista previa del aspecto de su sitio web para móviles con el modo de vista previa.

Solucionar errores de marcos

Use las herramientas para desarrolladores de Google si quiere revisar la política de seguridad del contenido de su sitio web. Si detecta errores como este en la consola, debe modificar su CSP para poder utilizar Optimize.

Refused to display in a frame because it set 'X-Frame-Options' to 'deny'. (no se puede mostrar en un marco porque su ajuste 'X-Frame-Options' es 'deny')
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?