Требования Google Оптимизации к безопасности

Вы можете использовать Google Оптимизацию на сайтах, поддерживающих Content Security Policy (CSP).

Если в заголовках вашего сайта или в теге <META> используется стандарт Content Security Policy (CSP), укажите домены Google Оптимизации и Аналитики. Если вы этого не сделаете, то не сможете использовать Оптимизацию.

Алгоритмы CSP позволяют проверять данные, которые передаются с сервера. Они определяют HTTP-заголовки, на основе которых создаются списки контроля доступа для надежных источников контента. Браузеры будут принимать команды на выполнение или обработку ресурсов только из этих источников.

Дополнительную информацию вы найдете на сайте Google Developers.

Устранение ошибок, связанных с Content Security Policy (CSP)

В некоторых случаях вам потребуется внести изменения в CSP, чтобы использовать Оптимизацию.

1. В браузере появилась ошибка, похожая на следующую:

На этой странице используются функции безопасности, несовместимые с редактором Оптимизации.

2. На странице Google Developer Tools появилась ошибка, похожая на следующую:

Отказ в выполнении optimize.google.com из-за нарушения следующей директивы Content Security Policy…

3. Появилась ошибка, похожая на следующую:

Алгоритмы Content Security Policy на вашем сайте блокируют следующую функцию JavaScript: eval.

Как изменить CSP

Чтобы запускать и просматривать эксперименты Оптимизации, а также получать к ним доступ (тесты и персонализации), в CSP должны быть включены следующие директивы:

script-src https://www.googleanalytics.com https://www.google-analytics.com https://www.googleoptimize.com 'unsafe-inline';
style-src 'unsafe-inline'; 
img-src https://www.google-analytics.com https://www.googletagmanager.com

 

Чтобы использовать визуальный редактор Оптимизации, добавьте в CSP следующие директивы:

script-src https://optimize.google.com 'unsafe-inline';
style-src https://optimize.google.com https://fonts.googleapis.com 'unsafe-inline';
img-src https://optimize.google.com;
font-src https://fonts.gstatic.com;
frame-src https://optimize.google.com

 

Если на сайте уже используется CSP, добавьте их над существующими директивами.

Оптимизация и ограничения на использование фреймов для страниц

Вы можете заметить сообщение об ошибке, похожей на следующую:

На этой странице используются функции безопасности, несовместимые со средствами редактирования Google Оптимизации для мобильных устройств.

Такие ошибки могут возникать по следующей причине:

Представление редактора Оптимизации для компьютеров не имеет каких-либо ограничений, связанных с директивами безопасности и методами, которые запрещают или блокируют использование фреймов. Чтобы использовать представление визуального редактора для мобильных устройств, ваша страница должна разрешать сайту создавать фреймы.

Если вы указали директиву deny для заголовка ответа X-Frame-Options на сайте, функции редактора для мобильных устройств будут недоступны.

Чтобы обойти эту проблему, администраторы сайтов (например, сайтов без контента, созданного пользователями, и доменов, не обменивающиеся данными с ненадежными страницами) используют директиву X-Frame-Options: sameorigin. Она позволяет ослабить ограничение для фреймов.

Директива X-Frame-Options: sameorigin разрешает вашему сайту создавать фреймы для ваших страниц, но запрещает это действие другим сайтам.

Дополнительную информацию об X-Frame-Options вы найдете в документации MDW.

Вы также можете внести изменения в визуальный редактор Оптимизации для мобильных устройств на компьютере. Для этого воспользуйтесь запросами медиа в стилистических изменениях и в диалоговом окне с CSS-кодом. Затем проверьте работу редактора для мобильных устройств в режиме предварительного просмотра.

Устранение ошибок, связанных с использованием фреймов

Чтобы проверить Content Security Policy на вашем сайте, воспользуйтесь инструментами Google Developer. При обнаружении ошибок, похожих на ту, что приведена ниже, внесите изменения в CSP. Если вы этого не сделаете, то не сможете использовать Оптимизацию.

Не удается показать контент во фрейме, поскольку для заголовка ответа X-Frame-Options используется директива "deny".
Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
101337
false