この記事では、コンテンツ セキュリティ ポリシー(CSP)の概要と、それを AdSense 広告コードと統合する方法について説明します。なお、CSP の使用はパブリッシャー様に義務付けられていません。CSP を使用する場合は、以下の手順に沿って、CSP を有効にしたときに AdSense コードが正しく動作するようにしてください。
CSP とは
コンテンツ セキュリティ ポリシー(CSP)は、読み込みと実行を許可するリソースとスクリプトを制限することでウェブページを保護する手段です。CSP を有効にするには、ウェブサーバーからの HTTP レスポンスに Content-Security-Policy ヘッダーを設定します。
CSP を構成する標準的な方法は 2 つあります。
- ページにリソースを挿入できるドメインの許可リストを指定します。
- ランダムなノンスを指定します。ページにリソースを読み込むには、そのノンスが含まれている必要があります。このアプローチは厳格な CSP と呼ばれます。
AdSense 広告コードで使用されるドメインは時間の経過とともに変化するため、厳格な CSP(オプション 2)のみがサポートされています。このアプローチでは、ドメインのローリング リストを管理する必要がなくなります。このようなリストは、古くなりサイトを損なう可能性があります。
AdSense 広告コードで厳格な CSP を設定する
ウェブサーバーで CSP を有効にするには、厳格な CSP を採用するに記載されている手順に沿って、CSP ヘッダーを設定し、AdSense コードを含むページ上のすべてのスクリプトタグにノンスを適用します。AdSense コードは、特に次の CSP ディレクティブをサポートしています。
Content-Security-Policy:
object-src 'none';
script-src 'nonce-{random}' 'unsafe-inline' 'unsafe-eval' 'strict-dynamic' https: http:;
base-uri 'none';
report-uri https://your-report-collector.example.com/ユースケースに適している場合は、より寛容なポリシーを選択できます。より厳格なポリシーは、予告なく機能しなくなる場合があります。
サンプルコード
厳格な CSP を使用した AdSense コードの例を次に示します。
<script nonce="${nonce}" async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=i-gno/re-d1234&host=ca-host-pub-5678" crossorigin="anonymous">
</script>
<ins class="adsbygoogle"
style="display:inline-block;width:728px;height:90px"
data-ad-client="i-gno/re-d1234"
data-ad-host="ca-host-pub-5678">
</ins>
<script nonce="${nonce}">
(adsbygoogle = window.adsbygoogle || []).push({});
</script>テスト
Content-Security-Policy ではなく Content-Security-Policy-Report-Only ヘッダーを設定して、まずポリシーをテストすることをおすすめします。ヘッダーにより違反が報告されますが、ページへのリソースの読み込みは許可されます。
