Requisiti di sicurezza di Optimize

Utilizzo di Optimize con i siti web che dispongono di CSP (Content Security Policy).

Se il tuo sito web utilizza un CSP (Content Security Policy) nelle intestazioni HTTP o un tag <META>, per utilizzare Google Optimize è necessario includere i domini Google Optimize e Google Analytics.

Invece di fidarsi ciecamente di un server, CSP definisce l'intestazione HTTP Content-Security-Policy che consente di creare un elenco di controllo di accesso per sorgenti di contenuti attendibili e indica al browser di eseguire o visualizzare solo risorse provenienti da quelle sorgenti.

- Google Developers

Risolvere i problemi relativi agli errori CSP (Content Security Policy)

Per utilizzare Optimize, è necessario modificare il CSP nei casi indicati di seguito.

a) È presente un errore come questo nel tuo browser:

Questa pagina utilizza funzioni di sicurezza incompatibili con l'editor di Optimize.

b) È presente un errore come questo negli Strumenti per sviluppatori di Google:

Esecuzione di optimize.google.com rifiutata perché viola la seguente direttiva CSP…

Modificare il CSP

Per la pubblicazione, l'anteprima e l'inserimento nelle esperienze Optimize (test e personalizzazioni, il CSP deve includere le seguenti direttive:


script-src https://www.google-analytics.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com

 

Per utilizzare l'editor visivo di Optimize, il CSP deve includere le seguenti direttive:


script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Se il tuo sito web ha già un CSP, aggiungi quanto sopra alle direttive esistenti.

Optimize e limitazioni all'utilizzo dei frame nella pagina

Se viene visualizzato un messaggio di errore simile al seguente:

Questa pagina utilizza funzioni di sicurezza incompatibili con la funzione di modifica per dispositivi mobili di Optimize.

ecco cosa potrebbe verificarsi:

La visualizzazione desktop dell'editor di Optimize non prevede limitazioni legate alle direttive di sicurezza sui frame o alle tecniche di pagina che non consentono l'utilizzo dei frame (note anche come busting dei frame). Tuttavia, se vuoi utilizzare le opzioni di visualizzazione per dispositivi mobili dell'editor visivo di Optimize, è necessario che al tuo sito sia consentito di racchiudere la pagina in frame.

Se il tuo sito utilizza la direttiva dell'intestazione di risposta X-Frame-Options con valore deny, non potrai utilizzare la funzionalità di modifica per dispositivi mobili.

Una soluzione alternativa accettabile per molti siti web (ad es. siti senza contenuti generati dagli utenti e domini non condivisi con pagine non attendibili) è allentare il vincolo a X-Frame-Options: sameorigin.

X-Frame-Options: sameorigin consente al tuo sito web di racchiudere le pagine in frame, ma non permette ad altri siti web di eseguire questa operazione.

Ulteriori informazioni su X-Frame-Options su MDW web docs.

In alternativa, puoi apportare modifiche per gli utenti di dispositivi mobili nell'editor visivo di Optimize (su computer desktop) utilizzando query supporti nelle modifiche di stile e nella finestra di dialogo del codice CSS. Al termine, puoi visualizzare l'anteprima della funzionalità per dispositivi mobili in modalità anteprima.

Risoluzione dei problemi relativi a errori nell'utilizzo dei frame

Utilizza gli Strumenti per sviluppatori di Google per verificare l'attuale CSP del tuo sito web. In caso di errori come quelli riportati nella console, devi modificare il CSP per utilizzare Optimize.

Visualizzazione in un frame rifiutata perché "X-Frame-Options" è impostato su "deny".
È stato utile?
Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
101337
false