ผสานรวมกับนโยบายความปลอดภัยของเนื้อหา

นโยบายรักษาความปลอดภัยเนื้อหา (CSP) เป็นวิธีการรักษาความปลอดภัย หน้าเว็บของคุณโดยการจำกัดทรัพยากรและสคริปต์ที่ได้รับอนุญาตให้โหลด และ ดำเนินการ คุณเปิดใช้ CSP ได้โดยการตั้งค่าส่วนหัว Content-Security-Policy ใน การตอบกลับ HTTP จากเว็บเซิร์ฟเวอร์ของคุณ

วิธีมาตรฐานในการกำหนดค่า CSP มีอยู่ 2 วิธีดังนี้

ระบุรายการโดเมนที่อนุญาตที่แทรกทรัพยากรของตนในหน้าเว็บได้
ระบุ Nonce แบบสุ่ม ซึ่งต้องทำเครื่องหมายทรัพยากรในหน้า เพื่อที่จะโหลด วิธีการนี้เรียกว่า CSP แบบเข้มงวด

เนื่องจากโดเมนที่แท็กผู้เผยแพร่โฆษณาผ่าน Google (GPT) ใช้มีการเปลี่ยนแปลง เราสนับสนุนเฉพาะ CSP ที่เข้มงวดเท่านั้น (ตัวเลือกที่ 2) วิธีนี้ทำให้คุณไม่ต้อง แสดงรายการโดเมนอย่างต่อเนื่อง ซึ่งอาจล้าสมัยและเสียหาย ของคุณ

การตั้งค่า CSP ด้วย GPT

เปิดใช้ CSP ในเว็บเซิร์ฟเวอร์ของคุณ

ทำตามขั้นตอนที่ระบุไว้ในการใช้ CSP ที่เข้มงวดเพื่อ ตั้งค่าส่วนหัวของ CSP และใช้ Nonce กับแท็กสคริปต์ทุกแท็กบนหน้าเว็บของคุณ รวมถึง gpt.js GPT รองรับรายการต่อไปนี้โดยเฉพาะ คำสั่งของ CSP มีดังนี้
```
Content-Security-Policy:
  object-src 'none';
  script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  base-uri 'none';
  report-uri https://your-report-collector.example.com/
```
คุณเลือกนโยบายที่ให้สิทธิ์มากขึ้นได้หากสอดคล้องกับกรณีการใช้งานของคุณ เพิ่มเติม นโยบายที่มีข้อจำกัด อาจใช้งานไม่ได้โดยไม่มีการแจ้งให้ทราบ
เปิดใช้งานการแสดงผลข้ามโดเมน

iframe ของโฆษณาสามารถโหลดทรัพยากรภายนอกที่อาจไม่ได้รับอนุญาตจากแท็ก CSP เนื่องจาก iframe ของโดเมนเดียวกันรับช่วง CSP ของหน้าต่างระดับบนสุด และ GPT ไม่สามารถควบคุมเนื้อหาของครีเอทีฟโฆษณาที่อยู่ในโดเมนเดียวกัน โฆษณามักจะทำงานร่วมกับส่วนหัว CSP ได้ไม่ถูกต้อง

หากต้องการเปิดใช้การแสดงผลข้ามโดเมนสำหรับครีเอทีฟโฆษณาทั้งหมด ให้ดำเนินการ googletag.pubads().setForceSafeFrame(true) ก่อนที่จะโหลดช่องโฆษณาใดๆ

หมายเหตุ: ครีเอทีฟโฆษณาแบบจองบางรายการอาจขึ้นอยู่กับการแสดงผล iframe ของโดเมน และไม่สามารถโหลดโดยเปิดใช้ SafeFrame ได้ทั่วโลก โปรดตรวจสอบ พื้นที่โฆษณาเพื่อดูว่าเป็นกรณีนี้หรือไม่ ตัวบ่งชี้หนึ่งคือเนื้อหาครีเอทีฟโฆษณา กำลังตรวจหาการมีอยู่ของตัวแปร inDapIF หรือ inGptIF
```
<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Hello GPT</title>
    <script src="https://securepubads.g.doubleclick.net/tag/js/gpt.js" nonce="KC7tcz53FHqumKP1" async></script>
    <script nonce="KC7tcz53FHqumKP1">
      window.googletag = window.googletag || {cmd: []};
      googletag.cmd.push(function() {
        googletag.pubads().setForceSafeFrame(true);
      });
    </script>
  </head>
```

การทดสอบ

เราขอแนะนำให้คุณทดสอบนโยบายก่อนโดยตั้งค่า Content-Security-Policy-Report-Only แทนส่วนหัว Content-Security-Policy ส่วนหัวจะรายงานการละเมิดแต่ยังคงอนุญาต บนหน้าเว็บ