Kiểu bản đồ mới sắp xuất hiện trên Nền tảng Google Maps. Bản cập nhật này để tạo kiểu bản đồ bao gồm một bảng màu mặc định mới và các cải tiến về trải nghiệm bản đồ cũng như khả năng hữu dụng. Tất cả kiểu bản đồ sẽ được cập nhật tự động vào tháng 3 năm 2025. Để biết thêm thông tin về phạm vi cung cấp và cách chọn tham gia sớm hơn, hãy xem bài viết Kiểu bản đồ mới cho Nền tảng Google Maps.

Trang này được dịch bởi Cloud Translation API.

Hướng dẫn về chính sách bảo mật nội dung

Tài liệu này đưa ra các đề xuất về cách định cấu hình Chính sách bảo mật nội dung (CSP) của trang web cho API JavaScript của Maps. Vì người dùng cuối sử dụng nhiều loại và phiên bản trình duyệt, nên nhà phát triển nên dùng ví dụ này để tham khảo và tinh chỉnh cho đến khi không còn lỗi vi phạm CSP nào nữa.

Tìm hiểu thêm về Chính sách bảo mật nội dung.

CSP nghiêm ngặt

Bạn nên sử dụng CSP nghiêm ngặt thay vì CSP danh sách cho phép để giảm thiểu khả năng bị tấn công bảo mật. API JavaScript của Maps hỗ trợ việc sử dụng CSP nghiêm ngặt dựa trên số chỉ dùng một lần. Các trang web phải điền giá trị số chỉ dùng một lần cho cả hai phần tử script và style. Trong nội bộ, Maps JavaScript API sẽ tìm phần tử đầu tiên như vậy và áp dụng giá trị số chỉ dùng một lần cho các phần tử kiểu hoặc tập lệnh do tập lệnh API chèn tương ứng.

Ví dụ:

Ví dụ sau đây cho thấy một CSP mẫu cùng với một trang HTML mà CSP đó được nhúng:

Chính sách bảo mật nội dung mẫu

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

Trang HTML mẫu

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

CSP trong danh sách cho phép

Nếu bạn đã thiết lập CSP danh sách cho phép, vui lòng tham khảo danh sách các Miền Google Maps. Bạn nên tham khảo tài liệu này và ghi chú phát hành của Maps JavaScript API để luôn nắm được thông tin mới nhất và đưa mọi miền dịch vụ mới vào danh sách cho phép nếu cần.

Các trang web tải API JavaScript của Maps từ một miền API cũ của Google (ví dụ: maps.google.com) hoặc một miền cụ thể theo khu vực (ví dụ: maps.google.fr) cũng phải thêm những tên miền này vào chế độ cài đặt script-src của CSP, như trong ví dụ sau:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;