שילוב עם מדיניות אבטחת תוכן

Content Security Policy (CSP) היא אמצעי לאבטחה לדף האינטרנט שלכם על ידי הגבלת המשאבים והסקריפטים שמורשים לטעון לבצע. כדי להפעיל CSP, צריך להגדיר כותרת Content-Security-Policy בקטע תגובות HTTP משרת האינטרנט שלכם.

יש שתי דרכים סטנדרטיות להגדרת CSP:

מציינים רשימת היתרים לדומיינים שיכולים להזריק את המשאבים שלהם בדף.
ציון צופן אקראי שבו צריך לסמן את המשאבים בדף כדי לטעון את הגיליון האלקטרוני. הגישה הזו נקראת מדיניות CSP מחמירה.

הדומיינים שבהם Google Publisher Tag (GPT) משתמש משתנים אנחנו תומכים רק במדיניות CSP מחמירה (אפשרות 2). הגישה הזו מבטלת את הצורך לתחזק רשימה מתמשכת של דומיינים שעשויים להיות מיושנים ולפגוע .

הגדרת CSP באמצעות GPT

מפעילים את CSP בשרת האינטרנט.

צריך לפעול לפי השלבים שמפורטים במאמר אימוץ מדיניות CSP מחמירה כדי להגדיר את כותרת ה-CSP ולהחיל את הצופן החד-פעמי (nonce) על כל תג סקריפט בדף, כולל gpt.js. GPT תומך באופן ספציפי בתכונות הבאות הוראות CSP:
```
Content-Security-Policy:
  object-src 'none';
  script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  base-uri 'none';
  report-uri https://your-report-collector.example.com/
```
אם זה מתאים לתרחיש לדוגמה שלכם, תוכלו לבחור מדיניות מתירנית יותר. סמל האפשרויות הנוספות כללי מדיניות מגבילים עלולים להפסיק לפעול ללא הודעה מוקדמת.
הפעלה של עיבוד בכמה דומיינים.

מסגרות iframe של מודעות יכולות לטעון משאבים חיצוניים שייתכן שאינם מורשים על ידי CSP. מכיוון שאותו iframes של דומיין יורשים את ה-CSP של החלון ברמה העליונה, ל-GPT אין אפשרות לשלוט בתוכן של הקריאייטיב, באותו הדומיין נכסי קריאייטיב לא יפעלו בדרך כלל בצורה תקינה עם כותרות של CSP.

כדי לאפשר עיבוד בכמה דומיינים לכל הקריאייטיבים, צריך להפעיל googletag.pubads().setForceSafeFrame(true) לפני שטוענים מיקומי מודעות כלשהם.

הערה: חלק מנכסי הקריאייטיב במכירה ישירה לא פרוגרמטית עשויים להיות תלויים ברינדור שלהם ה-iframe של הדומיין נכשל בטעינה כשמסגרת בטוחה מופעלת בכל העולם. כדאי לבדוק את כדי לבדוק אם זה המצב, אינדיקטור אחד הוא התוכן היצירתי בדיקה אם קיימים משתנים של inDapIF או inGptIF.
```
<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Hello GPT</title>
    <script src="https://securepubads.g.doubleclick.net/tag/js/gpt.js" nonce="KC7tcz53FHqumKP1" async></script>
    <script nonce="KC7tcz53FHqumKP1">
      window.googletag = window.googletag || {cmd: []};
      googletag.cmd.push(function() {
        googletag.pubads().setForceSafeFrame(true);
      });
    </script>
  </head>
```

בדיקה

מומלץ לבדוק קודם את המדיניות על ידי הגדרת הכותרת Content-Security-Policy-Report-Only במקום Content-Security-Policy הכותרת מדווחת על הפרות, אבל עדיין מאפשרת אותם בדף.