Exigences de sécurité pour Optimize

Utiliser Optimize avec des sites Web incluant une CSP

Si votre site Web utilise une CSP (Content Security Policy) dans les en-têtes HTTP ou une balise <META>, vous devez inclure les domaines Google Optimize et Google Analytics pour utiliser Google Optimize.

Au lieu de faire aveuglément confiance à tous les éléments provenant d'un serveur, la CSP définit l'en-tête HTTP Content-Security-Policy qui vous permet de créer une liste de contrôle d'accès des sources de contenu fiables, puis demande au navigateur de n'exécuter ou de n'afficher que des éléments provenant de ces sources.

- Google Developers

Résoudre les erreurs liées à la CSP

Vous devez modifier votre CSP pour utiliser Optimize dans les situations décrites ci-dessous.

a) Une erreur de ce type s'affiche dans votre navigateur :

Cette page utilise des fonctionnalités de sécurité qui ne sont pas compatibles avec l'éditeur Optimize.

b) Une erreur de ce type s'affiche dans les outils Google Developers :

Exécution d'optimize.google.com refusée, car il viole la directive suivante de la CSP…

c) Une erreur de ce type s'affiche :

La CSP de votre site bloque l'utilisation de la propriété "eval" en JavaScript.

Modifier votre CSP

Vous devez inclure les directives suivantes à votre CSP afin de pouvoir l'exécuter, la prévisualiser et l'intégrer dans les tests et les personnalisations Optimize :

script-src https://www.googleanalytics.com https://www.google-analytics.com https://www.googleoptimize.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com https://www.googletagmanager.com

 

Pour utiliser l'éditeur visuel Optimize, vous devez inclure les directives suivantes à votre CSP :

script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Si votre site Web dispose déjà d'une CSP, veuillez inclure ce qui précède dans vos directives existantes.

Optimize et restrictions d'encadrement de pages

Si vous obtenez un message d'erreur semblable à celui-ci :

Cette page utilise des fonctionnalités de sécurité qui ne sont pas compatibles avec la version d'Optimize pour mobile.

Ce problème peut être dû à la situation suivante :

La version pour ordinateur de l'éditeur Optimize ne limite aucunement les directives liées à la sécurité des cadres ni les techniques de page qui interdisent les cadres (frame busting). Toutefois, si vous souhaitez utiliser les options d'affichage "mobiles" de l'éditeur visuel d'Optimize, vous devez autoriser l'encadrement de votre page par votre propre site.

Si votre site applique la directive d'en-tête de réponse X-Frame-Options avec la valeur deny, vous ne pourrez pas utiliser l'édition sur mobile.

Il existe une solution applicable à de nombreux sites Web (à savoir, les sites sans contenu généré par l'utilisateur et les domaines qui ne sont pas partagés avec des pages non dignes de confiance) : elle consiste à assouplir la contrainte en définissant la valeur X-Frame-Options: sameorigin.

La valeur X-Frame-Options: sameorigin autorise l'encadrement de vos pages par votre propre site Web, mais elle l'interdit si la demande provient d'autres sites Web.

En savoir plus sur la directive X-Frame-Options sur le site MDW web docs

Une autre solution consiste à effectuer les modifications destinées aux utilisateurs de mobiles dans l'éditeur visuel d'Optimize (sur ordinateur) en utilisant des requêtes média dans vos modifications de style et dans la boîte de dialogue de code CSS, puis à prévisualiser le résultat sur mobile en mode Aperçu.

Résoudre les erreurs d'encadrement

Les outils Google Developers permettent de vérifier l'en-tête CSP de votre site Web. Si vous trouvez des erreurs comme celle-ci dans la console, vous devez modifier votre CSP pour utiliser Optimize.

Refused to display in a frame because it set 'X-Frame-Options' to 'deny'.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
101337
false