Otimizar os requisitos de segurança

Como usar o Optimize em sites que incluem uma política de segurança de conteúdo (CSP).

Caso seu site use uma política de segurança de conteúdo (CSP, na sigla em inglês) em cabeçalhos HTTP ou uma tag <META>, você precisará incluir os domínios do Google Optimize e do Google Analytics para usar o Optimize.

Em vez de confiar no conteúdo que um servidor entrega, a CSP define o cabeçalho HTTP Content-Security-Policy que permite criar uma lista de permissões com fontes de conteúdo confiável e instrui o navegador a executar ou renderizar recursos apenas dessas fontes.

Google Developers

Resolver problemas da política de segurança de conteúdo (CSP)

Você precisará modificar sua CSP para usar o Optimize se:

a) um erro como este for exibido no navegador:

Esta página usa recursos de segurança que não são compatíveis com o editor do Optimize.

b) um erro como este for exibido nas Ferramentas para Desenvolvedores do Google:

O optimize.google.com não foi executado porque sua página viola a seguinte diretiva da política de segurança de conteúdo...

Modificar sua CSP

Para executar, visualizar e ser incluída em experiências do Optimize (testes e personalizações), sua política de segurança de conteúdo (CSP) precisa conter as seguintes diretivas:


script-src https://www.google-analytics.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com

 

Para usar o editor visual do Optimize, sua CSP precisa incluir as seguintes diretivas:


script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Caso seu site já tenha uma CSP, adicione o conteúdo indicado acima às diretivas existentes.

Optimize e restrições de enquadramento de página

Em alguns casos, a seguinte mensagem de erro é exibida:

Essa página usa recursos de segurança incompatíveis com a edição para dispositivos móveis do Optimize.

Veja o que poderia estar acontecendo:

A visualização do editor do Optimize para computadores não tem restrições às diretivas de segurança de frames nem técnicas de página que proíbam o enquadramento (também chamado de inibição de frames). No entanto, se você quiser usar as opções de visualização do editor visual do Optimize para dispositivos móveis, sua página precisa permitir o enquadramento pelo seu próprio site.

Caso seu site utilize a diretiva do cabeçalho de resposta X-Frame-Options com o valor deny, não será possível usar a edição em dispositivos móveis.

Uma alternativa aceitável para diversos sites (por exemplo, aqueles sem conteúdo gerado pelo usuário e domínios que não são compartilhados com páginas não confiáveis) é reduzir as restrições para X-Frame-Options: sameorigin.

O X-Frame-Options: sameorigin permite que as páginas sejam enquadradas pelo seu site, mas não permite que elas sejam enquadradas por outros sites.

Saiba mais sobre o X-Frame-Options nos documentos da Web do MDW.

Se preferir, você pode fazer alterações para usuários de dispositivos móveis no editor visual do Optimize (no computador) usando consultas de mídia nas suas alterações de estilo e na caixa de diálogo do código CSS. Depois, pode ver o recurso para dispositivos móveis no modo de visualização.

Resolver problemas de enquadramento

Use as Ferramentas para Desenvolvedores do Google para verificar a política atual de segurança de conteúdo do seu site. Se você encontrar erros no console como o exibido abaixo, será necessário modificar a CSP para usar o Optimize.

Não foi possível exibir em um frame porque "X-Frame-Options" foi definido como "deny".
Este artigo foi útil para você?
Como podemos melhorá-lo?