Integrazione con un criterio di sicurezza del contenuto

Il criterio di sicurezza del contenuto (CSP) è un mezzo per proteggere pagina web limitando le risorse e gli script che possono essere caricati eseguire il deployment. Puoi attivare CSP impostando un'intestazione Content-Security-Policy in Risposte HTTP dal tuo server web.

Esistono due modi standard per configurare CSP:

Specifica una lista consentita di domini che possono inserire risorse nella pagina.
Specifica un nonce casuale con cui le risorse della pagina devono essere contrassegnate caricare. Questo approccio è noto come CSP rigoroso.

Poiché i domini utilizzati in Tag publisher di Google (GPT) cambiano, nel tempo, supportiamo solo criteri CSP rigorosi (opzione 2). Questo approccio elimina la necessità un elenco continuativo di domini che potrebbero diventare obsoleti e interrompere sito.

Configurare CSP con GPT

Attiva CSP sul tuo server web.

Segui i passaggi descritti nell'adozione di criteri CSP rigorosi per: configurare l'intestazione CSP e applicare il nonce a ogni tag script sulla pagina, tra cui gpt.js. GPT supporta nello specifico i seguenti Istruzioni CSP:
```
Content-Security-Policy:
  object-src 'none';
  script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  base-uri 'none';
  report-uri https://your-report-collector.example.com/
```
Puoi scegliere una norma più permissiva, se più adatta al tuo caso d'uso. Altro le norme restrittive possono interrompere senza preavviso.
Attiva il rendering interdominio.

Gli iframe degli annunci possono caricare risorse esterne che potrebbero non essere consentite dal CSP. Dal momento che gli iframe dello stesso dominio ereditano il CSP della finestra di primo livello. GPT non può controllare i contenuti della creatività, lo stesso dominio le creatività generalmente non funzionano correttamente con le intestazioni CSP.

Per attivare il rendering interdominio per tutte le creatività, esegui googletag.pubads().setForceSafeFrame(true) prima di caricare eventuali aree annuncio.

Nota: alcune creatività di prenotazione potrebbero dipendere dalla visualizzazione in uno stesso nell'iframe del dominio e non vengono caricati con il SafeFrame attivato a livello globale. Controlla inventario per vedere se è così; un indicatore è il contenuto della creatività verificando l'esistenza di variabili inDapIF o inGptIF.
```
<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Hello GPT</title>
    <script src="https://securepubads.g.doubleclick.net/tag/js/gpt.js" nonce="KC7tcz53FHqumKP1" async></script>
    <script nonce="KC7tcz53FHqumKP1">
      window.googletag = window.googletag || {cmd: []};
      googletag.cmd.push(function() {
        googletag.pubads().setForceSafeFrame(true);
      });
    </script>
  </head>
```

Test

Ti consigliamo di verificare prima i criteri impostando Content-Security-Policy-Report-Only anziché Content-Security-Policy. L'intestazione segnala violazioni, ma consente comunque sulla pagina.