सुरक्षा नोटिस: हमें सुरक्षा से जुड़ी एक समस्या का पता चला है. यह समस्या तीसरे पक्ष की कुछ लाइब्रेरी (इसमें polyfill.io शामिल है) का इस्तेमाल करने वाली वेबसाइटों पर असर डाल सकती है. इस समस्या की वजह से, वेबसाइट पर आने वाले लोगों को कभी-कभी अपनी वेबसाइट के मालिक की जानकारी या अनुमति के बिना ही, दूसरी वेबसाइट पर रीडायरेक्ट कर दिया जाता है. हमारे कई JavaScript सैंपल में, पहले से polyfill.io स्क्रिप्ट का एलान शामिल था. हमने इसे अपने सैंपल से हटा दिया है. अगर आपने हमारे JavaScript सैंपल का इस्तेमाल किया है और इनमें यह एलान शामिल है, तो हमारा सुझाव है कि आप इस एलान को हटा दें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

सामग्री सुरक्षा नीति गाइड

इस दस्तावेज़ में, Maps JavaScript API के लिए वेबसाइट की कॉन्टेंट सुरक्षा नीति (सीएसपी) को कॉन्फ़िगर करने का तरीका बताया गया है. असली उपयोगकर्ता कई तरह के ब्राउज़र और वर्शन का इस्तेमाल करते हैं. इसलिए, डेवलपर को सलाह दी जाती है कि वे संदर्भ के तौर पर इस उदाहरण का इस्तेमाल करें. साथ ही, उन्हें तब तक बेहतर बनाएं, जब तक सीएसपी का उल्लंघन न हो.

कॉन्टेंट की सुरक्षा के बारे में नीति के बारे में ज़्यादा जानें.

सख्त सीएसपी

हमारा सुझाव है कि सुरक्षा से जुड़े हमलों की संभावना को कम करने के लिए, अनुमति वाले सीएसपी की जगह स्ट्रिक्ट सीएसपी का इस्तेमाल करें. Maps JavaScript API, नॉन्स पर आधारित सख्त सीएसपी के साथ काम करता है. वेबसाइटों पर, script और style, दोनों एलिमेंट में नॉन्स वैल्यू होनी चाहिए. अंदरूनी तौर पर, Maps JavaScript API इस तरह का पहला एलिमेंट खोजेगा. साथ ही, इसकी नॉन्स वैल्यू को एपीआई स्क्रिप्ट से डाले गए स्टाइल या स्क्रिप्ट एलिमेंट पर लागू करेगा.

उदाहरण

नीचे दिए गए उदाहरण में, सीएसपी का सैंपल दिखाया गया है. साथ ही, उस एचटीएमएल पेज के बारे में बताया गया है जहां इसे एम्बेड किया गया है:

सैंपल कॉन्टेंट की सुरक्षा के बारे में नीति

script-src 'nonce-{script value}' 'strict-dynamic' https: 'unsafe-eval' blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com data: blob:;
font-src https://fonts.gstatic.com;
style-src 'nonce-{style value}' https://fonts.googleapis.com;
worker-src blob:;

सैंपल एचटीएमएल पेज

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" nonce="{style value}">
    <style nonce="{style value}">...</style>
    ...
  </head>
  <body>
    <div id="map"></div>
    <script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async nonce="{script value}"></script>
    <script nonce="{script value}"> function initMap() { ... } </script>
  </body>
</html>

जिन लोगों या संगठनों को अनुमति मिली है उनकी सूची में सीएसपी

अगर आपने अनुमति वाली सूची में सीएसपी सेट अप किया है, तो कृपया Google Maps Domains की सूची देखें. हमारा सुझाव है कि अप-टू-डेट रहने के लिए, यह दस्तावेज़ और Maps JavaScript API की प्रॉडक्ट की जानकारी देखें. साथ ही, ज़रूरत पड़ने पर किसी नए सर्विस डोमेन को अनुमति वाली सूची में शामिल करें.

ऐसी वेबसाइटें जो Maps JavaScript API को किसी लेगसी Google API डोमेन (उदाहरण के लिए maps.google.com) या किसी खास क्षेत्र के हिसाब से बने डोमेन (जैसे कि maps.google.fr) से लोड करती हैं, उन्हें भी अपनी सीएसपी script-src सेटिंग में ये डोमेन नेम शामिल करने होंगे, जैसा कि इस उदाहरण में दिखाया गया है:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://*.googleapis.com https://*.gstatic.com *.google.com https://*.ggpht.com *.googleusercontent.com blob:;
img-src 'self' https://*.googleapis.com https://*.gstatic.com *.google.com  *.googleusercontent.com data:;
frame-src *.google.com;
connect-src 'self' https://*.googleapis.com *.google.com https://*.gstatic.com  data: blob:;
font-src https://fonts.gstatic.com;
style-src 'self' 'unsafe-inline' https://fonts.googleapis.com;
worker-src blob:;