Tích hợp với Chính sách bảo mật nội dung

Chính sách bảo mật nội dung (CSP) là một biện pháp bảo mật trang web của bạn bằng cách giới hạn tài nguyên và tập lệnh nào được phép tải và thực thi. Bạn có thể bật CSP bằng cách đặt tiêu đề Content-Security-Policy trong Phản hồi HTTP từ máy chủ web của bạn.

Có 2 cách tiêu chuẩn để định cấu hình CSP:

Chỉ định danh sách cho phép cho các miền có thể chèn tài nguyên trên trang.
Chỉ định một số chỉ dùng một lần ngẫu nhiên, trong đó phải đánh dấu những tài nguyên trên trang thứ tự tải. Phương pháp này được gọi là CSP nghiêm ngặt.

Do các miền mà Thẻ nhà xuất bản của Google (GPT) sử dụng thay đổi qua thời gian, chúng tôi chỉ hỗ trợ CSP nghiêm ngặt (lựa chọn 2). Phương pháp này giúp bạn không cần duy trì danh sách cuốn chiếu gồm các miền có thể đã lỗi thời và phá vỡ danh sách của bạn.

Thiết lập CSP bằng GPT

Bật CSP trên máy chủ web của bạn.

Làm theo các bước đã nêu trong quá trình áp dụng CSP nghiêm ngặt để thiết lập tiêu đề CSP và áp dụng số chỉ dùng một lần cho mọi thẻ tập lệnh trên trang của bạn, bao gồm gpt.js. GPT đặc biệt hỗ trợ các định dạng sau Lệnh CSP:
```
Content-Security-Policy:
  object-src 'none';
  script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
  base-uri 'none';
  report-uri https://your-report-collector.example.com/
```
Bạn có thể chọn một chính sách thoải mái hơn nếu phù hợp với trường hợp sử dụng của mình. Xem thêm chính sách hạn chế có thể bị vi phạm mà không cần thông báo.
Bật hiển thị trên nhiều miền.

iframe quảng cáo có thể tải các tài nguyên bên ngoài mà có thể không được cho phép CSP. Bởi vì cùng một iframe của miền kế thừa CSP của cửa sổ cấp cao nhất và GPT không thể kiểm soát nội dung quảng cáo, cùng miền mẫu quảng cáo thường sẽ không hoạt động đúng cách với tiêu đề CSP.

Để bật tính năng hiển thị trên nhiều miền cho tất cả mẫu quảng cáo, hãy thực thi googletag.pubads().setForceSafeFrame(true) trước khi tải bất kỳ vùng quảng cáo nào.

Lưu ý: Một số mẫu quảng cáo đặt trước có thể phụ thuộc vào việc hiển thị trong cùng một và không thể tải khi khung an toàn được bật trên toàn cục. Kiểm tra khoảng không quảng cáo để xem liệu đây có phải là trường hợp đó không; một chỉ báo là nội dung quảng cáo đang kiểm tra sự tồn tại của biến inDapIF hoặc inGptIF.
```
<!doctype html>
<html>
  <head>
    <meta charset="utf-8">
    <title>Hello GPT</title>
    <script src="https://securepubads.g.doubleclick.net/tag/js/gpt.js" nonce="KC7tcz53FHqumKP1" async></script>
    <script nonce="KC7tcz53FHqumKP1">
      window.googletag = window.googletag || {cmd: []};
      googletag.cmd.push(function() {
        googletag.pubads().setForceSafeFrame(true);
      });
    </script>
  </head>
```

Thử nghiệm

Bạn nên thử nghiệm chính sách của mình trước bằng cách đặt Content-Security-Policy-Report-Only thay vì Content-Security-Policy. Tiêu đề này báo cáo lỗi vi phạm nhưng vẫn cho phép trên trang.