از Tag Manager با یک خط مشی امنیتی محتوا استفاده کنید

خط مشی امنیت محتوا (CSP) یک استاندارد امنیتی وب است که به طور گسترده پشتیبانی می شود که برای جلوگیری از انواع خاصی از حملات مبتنی بر تزریق با دادن کنترل به توسعه دهندگان بر منابع بارگذاری شده توسط برنامه هایشان طراحی شده است. از این راهنما برای درک نحوه استقرار Google Tag Manager در سایت هایی که از CSP استفاده می کنند استفاده کنید.

برای استفاده از CSP تگ Container را فعال کنید

برای استفاده از Google Tag Manager در صفحه ای با CSP، CSP باید اجازه اجرای کد ظرف Tag Manager شما را بدهد. این کد به عنوان کد جاوا اسکریپت درون خطی ساخته شده است که اسکریپت gtm.js را تزریق می کند. راه های مختلفی برای این کار وجود دارد، مانند استفاده از nonce یا هش. روش توصیه شده استفاده از یک nonce است که باید یک مقدار تصادفی غیرقابل حدس زدن باشد که سرور به صورت جداگانه برای هر پاسخ تولید می کند. مقدار nonce را در دستورالعمل Content-Security- Policy script-src ارائه کنید:

Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com

سپس از نسخه غیر آگاه کد کانتینر Tag Manager درون خطی استفاده کنید. ویژگی nonce را در عنصر اسکریپت درون خطی به همین مقدار تنظیم کنید:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

سپس مدیر تگ، nonce را به هر اسکریپتی که به صفحه اضافه می کند، منتشر می کند.

روش های دیگری برای فعال کردن اجرای یک اسکریپت درون خطی وجود دارد، مانند تهیه هش اسکریپت درون خطی در CSP.

اگر رویکردهای nonce یا هش توصیه شده امکان پذیر نباشد، می توان اسکریپت درون خطی Tag Manager را با افزودن دستورالعمل 'unsafe-inline' به بخش script-src CSP فعال کرد.

دستورالعمل های زیر در CSP برای استفاده از این رویکرد مورد نیاز است:

بخشنامه محتوا
script-src 'unsafe-inline' https://www.googletagmanager.com
img-src www.googletagmanager.com
connect-src www.googletagmanager.com

متغیرهای جاوا اسکریپت سفارشی

با توجه به نحوه پیاده سازی متغیرهای جاوا اسکریپت سفارشی ، آنها در حضور یک CSP undefined ارزیابی می شوند، مگر اینکه دستورالعمل 'unsafe-eval' در بخش script-src CSP ارائه شده باشد.

بخشنامه محتوا
script-src "ارزیابی ناامن"

حالت پیش نمایش

برای استفاده از حالت پیش‌نمایش Google Tag Manager، CSP باید شامل دستورالعمل‌های زیر باشد:

بخشنامه محتوا
script-src https://googletagmanager.com https://tagmanager.google.com
style-src https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src داده های https://fonts.gstatic.com:

Google Analytics 4 (Google Analytics)

برای استفاده از تگ Google Analytics 4 (Google Analytics)، CSP باید شامل دستورالعمل های زیر باشد:

بخشنامه محتوا
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.googletagmanager.com
connect-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com

برای استقرار Google Analytics 4 (Google Analytics) با استفاده از Google Signals، CSP باید شامل دستورالعمل‌های زیر باشد:

بخشنامه محتوا
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
فریم-src https://td.doubleclick.net https://www.googletagmanager.com

برای استفاده از تگ Google Ads Conversion، Remarketing یا Conversion Linker، CSP باید شامل دستورالعمل های زیر باشد:

بخشنامه محتوا
script-src https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net
img-src https://www.googletagmanager.com https://googleads.g.doubleclick.net https://www.google.com
https://google.com https://www.google.com.<TLD> https://pagead2.googlesyndication.com
فریم-src https://www.googletagmanager.com https://td.doubleclick.net
connect-src https://pagead2.googlesyndication.com https://www.googleadservices.com
https://www.google.com https://google.com

برای استفاده از چراغ‌های اطلاعات کاربر Google Ads هنگام اجرا در زمینه‌های امن، CSP باید شامل دستورالعمل‌های زیر باشد:

بخشنامه محتوا
script-src https://www.googletagmanager.com
فریم-src https://www.googletagmanager.com
connect-src https://google.com https://www.google.com

چراغ اطلاعات کاربر تبلیغات Google در زمینه‌های ناامن اجرا نمی‌شود، بنابراین پیکربندی CSP در این موارد قابل اجرا نیست.

نورافکن

کاربران Floodlight می توانند CSP ها را با استفاده از تنظیمات زیر فعال کنند. مقادیر <FLOODLIGHT-CONFIG-ID> را با یک شناسه تبلیغ‌کننده خاص Floodlight یا * جایگزین کنید تا به هر شناسه تبلیغ‌کننده اجازه دهید:

برای همه کاربران:

بخشنامه محتوا
img-src https://ad.doubleclick.net https://ade.googlesyndication.com https://adservice.google.com
https://www.googletagmanager.com
فریم-src https://td.doubleclick.net https://www.googletagmanager.com
connect-src https://pagead2.googlesyndication.com https://www.google.com https://www.googleadservices.com

برای چراغ های "اسکریپت های سفارشی":

بخشنامه محتوا
فریم-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net

برای برچسب های تصویر:

بخشنامه محتوا
img-src https://ad.doubleclick.net https://ade.googlesyndication.com

کارگر خدمات

برای استفاده از Service Worker برای تطابق بهبودیافته، چراغ‌های اطلاعات کاربر و تبدیل‌های تبلیغاتی، CSP باید شامل دستورالعمل‌های زیر باشد:

بخشنامه محتوا
فریم-src https://www.googletagmanager.com