سياسة أمان المحتوى (CSP) هي معيار أمان للويب يحظى بدعم واسع النطاق ويهدف إلى منع أنواع معيّنة من الهجمات المستندة إلى الحقن من خلال منح المطوّرين التحكّم في الموارد التي تحمّلها تطبيقاتهم. استخدِم هذا الدليل لفهم كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي تستخدِم "سياسة أمان المحتوى".
تفعيل علامة الحاوية لاستخدام "سياسة أمان المحتوى"
لاستخدام أداة "إدارة العلامات من Google" على صفحة تتضمّن "سياسة أمان المحتوى (CSP)"، يجب أن تسمح "سياسة أمان المحتوى (CSP)" بتنفيذ رمز حاوية "إدارة العلامات من Google". تم إنشاء هذا الرمز البرمجي كرمز JavaScript مضمّن يحقن النص البرمجي gtm.js. تتوفّر عدة طرق لإجراء ذلك، مثل استخدام رقم خاص أو تجزئة. الطريقة المقترَحة هي استخدام قيمة عشوائية
nonce، والتي يجب أن تكون قيمة عشوائية غير قابلة للتخمين ينشئها الخادم
بشكل فردي لكل استجابة. قدِّم قيمة الرقم الخاص في توجيه script-src في "سياسة أمان المحتوى":
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com www.google.com
بعد ذلك، استخدِم الإصدار الذي يراعي القيمة العشوائية من رمز حاوية Tag Manager المضمّن. اضبط سمة القيمة العشوائية في عنصر النص البرمجي المضمّن على هذه القيمة نفسها:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
ستنشر أداة "إدارة العلامات من Google" بعد ذلك القيمة العشوائية إلى أي نصوص برمجية تضيفها إلى الصفحة.
تتوفّر طرق أخرى لتفعيل تنفيذ نص برمجي مضمّن، مثل تقديم تجزئة النص البرمجي المضمّن في "سياسة أمان المحتوى".
إذا لم يكن من الممكن استخدام الطريقتَين المقترَحتَين للقيمة العشوائية أو التجزئة، يمكن تفعيل النص البرمجي المضمّن في Tag Manager من خلال إضافة التوجيه 'unsafe-inline'
إلى قسم script-src في سياسة أمان المحتوى (CSP).
يجب تضمين التوجيهات التالية في "سياسة أمان المحتوى" لاستخدام هذه الطريقة:
| الأمر | المحتوى |
|---|---|
| script-src | 'unsafe-inline' https://www.googletagmanager.com |
| img-src | www.googletagmanager.com |
| connect-src | www.googletagmanager.com www.google.com |
متغيّرات JavaScript المخصّصة
بسبب طريقة تنفيذ متغيّرات JavaScript المخصّصة، سيتم تقييمها على أنّها undefined في حال توفّر "سياسة أمان المحتوى"، ما لم يتم تقديم التوجيه 'unsafe-eval' في قسم script-src من "سياسة أمان المحتوى".
| الأمر | المحتوى |
|---|---|
| script-src | 'unsafe-eval' |
وضع المعاينة
لاستخدام وضع المعاينة في أداة "إدارة العلامات من Google"، يجب أن تتضمّن "سياسة أمان المحتوى" التوجيهات التالية:
| الأمر | المحتوى |
|---|---|
| script-src | https://googletagmanager.com https://tagmanager.google.com |
| style-src | https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com |
| img-src | https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com |
| font-src | https://fonts.gstatic.com data: |
إحصاءات Google 4
لاستخدام علامة "إحصاءات Google 4"، يجب أن تتضمّن "سياسة أمان المحتوى" التوجيهات التالية. إنّ نقاط النهاية التي تحمل الرقم 1 مخصّصة لميزات الإعلانات ، ولكن ننصحك بتضمينها أثناء الإعداد الأولي حتى لا تحتاج "سياسة أمان المحتوى" إلى تعديل إذا ربطت "إعلانات Google" لاحقًا.
| الأمر | المحتوى |
|---|---|
| script-src | https://*.googletagmanager.com |
| img-src | https://*.google-analytics.com https://*.googletagmanager.com https://*.g.doubleclick.net 1 https://*.google.com 1 https://*.google.<TLD> 1 |
| connect-src | https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com https://*.g.doubleclick.net 1 https://*.google.com 1 https://*.google.<TLD> 1 https://pagead2.googlesyndication.com 1 |
| frame-src | https://www.googletagmanager.com 1 |
1 نقاط نهاية الإعلانات: لا تكون هذه النطاقات مطلوبة بشكل نشط إلا لعمليات نشر "إحصاءات Google 4" المرتبطة بخدمة "إعلانات Google" أو التي تستخدِم ميزات الإعلانات.
إعلانات Google
لاستخدام علامة "الإحالة الناجحة" أو "تجديد النشاط التسويقي" أو "أداة ربط الإحالات الناجحة" في "إعلانات Google"، يجب أن تتضمّن "سياسة أمان المحتوى" التوجيهات التالية:
| الأمر | المحتوى |
|---|---|
| script-src | https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net |
| img-src | https://www.googletagmanager.com https://googleads.g.doubleclick.net https://www.google.com https://pagead2.googlesyndication.com https://www.googleadservices.com https://google.com https://www.google.<TLD> |
| frame-src | https://www.googletagmanager.com |
| connect-src | https://pagead2.googlesyndication.com https://www.googleadservices.com https://googleads.g.doubleclick.net https://ad.doubleclick.net https://www.google.com https://google.com https://www.google.<TLD> |
إشارة بيانات المستخدمين في "إعلانات Google"
لاستخدام إشارات بيانات المستخدمين في "إعلانات Google" عند التشغيل في سياقات آمنة، يجب أن تتضمّن "سياسة أمان المحتوى" التوجيهات التالية:
| الأمر | المحتوى |
|---|---|
| script-src | https://www.googletagmanager.com |
| frame-src | https://www.googletagmanager.com |
| connect-src | https://google.com https://www.google.com |
لا يتم تشغيل إشارة بيانات المستخدمين في "إعلانات Google" في سياقات غير آمنة، لذا لا ينطبق ضبط "سياسة أمان المحتوى" في هذه الحالات.
Floodlight
يمكن لمستخدِمي Floodlight تفعيل "سياسات أمان المحتوى" باستخدام عمليات الضبط التالية. استبدِل قيم
<FLOODLIGHT-CONFIG-ID> بمعرّف معلن Floodlight معيّن أو بـ * للسماح بأي معرّف معلن:
لجميع المستخدِمين:
| الأمر | المحتوى |
|---|---|
| img-src | https://ad.doubleclick.net https://ade.googlesyndication.com https://adservice.google.com https://www.googletagmanager.com |
| frame-src | https://www.googletagmanager.com |
| connect-src | https://pagead2.googlesyndication.com https://www.google.com https://www.googleadservices.com https://ad.doubleclick.net |
لإشارات "النصوص البرمجية المخصّصة":
| الأمر | المحتوى |
|---|---|
| frame-src | https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net |
لعلامات الصورة:
| الأمر | المحتوى |
|---|---|
| img-src | https://ad.doubleclick.net https://ade.googlesyndication.com |
مشغّل الخدمات
لاستخدام مشغّل الخدمات من أجل المطابقة المحسّنة وإشارات بيانات المستخدمين والإحالات الناجحة في "إعلانات Google"، يجب أن تتضمّن "سياسة أمان المحتوى" التوجيهات التالية:
| الأمر | المحتوى |
|---|---|
| frame-src | https://www.googletagmanager.com |
تحديد المشاكل وحلّها باستخدام Tag Assistant
لتحديد المشاكل في "سياسة أمان المحتوى" وحلّها، استخدِم Tag Assistant. ستعرض أداة Tag Assistant قائمة الموارد التي تحظرها "سياسة أمان المحتوى".
افتح Tag Assistant وأدخِل عنوان URL لموقعك الإلكتروني. يتم فتح موقعك الإلكتروني في علامة تبويب جديدة.
إذا كانت "سياسة أمان المحتوى" على صفحتك تحظر أحد الموارد، ستظهر مشكلة في "سياسة أمان المحتوى" في قسم مشاكل الصفحة في Tag Assistant.
انقر على عرض المشكلة بجانب مشكلة "سياسة أمان المحتوى" لعرض قائمة بجميع الموارد المحظورة على صفحتك.
أضِف جميع الموارد المحظورة إلى "سياسة أمان المحتوى".