İçerik Güvenliği Politikası (İGP), yaygın olarak desteklenen bir web'dir belirli ekleme tabanlı saldırı türlerini önlemeye yönelik güvenlik standardı Bu da geliştiricilerin, uygulamaları tarafından yüklenen kaynaklar üzerinde kontrol sahibi olmalarını sağlar. Aşağıdaki web sitelerinde Google Etiket Yöneticisi'ni nasıl dağıtacağınızı CSP kullanmanız gerekir.
CSP'yi kullanmak için kapsayıcı etiketi etkinleştirin
CSP içeren bir sayfada Google Etiket Yöneticisi'ni kullanmak için İGP'nin
yürütülmesine ilişkin bir örnektir. Bu kod satır içi olarak oluşturulur
gtm.js
komut dosyasını yerleştiren JavaScript kodu. Planlama aşamasında
Örneğin tek seferlik rastgele sayı veya karma değeri. Önerilen yöntem
nonce: Sunucunun oluşturduğu tahmin edilemez, rastgele bir değer
tıklayın. İçerik Güvenliği bölümünde tek seferlik rastgele değerini sağlayın-
Politika script-src
yönergesi:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
Ardından, satır içi Etiket Yöneticisi kapsayıcı kodunun tek seferlik duyarlı olmayan sürümünü kullanın. Satır içi komut dosyası öğesindeki nonce özelliğini şu değere ayarlayın:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
Daha sonra Etiket Yöneticisi, tek seferlik rastgele değeri, eklendiği komut dosyalarına uygular yapalım.
Satır içi komut dosyasının yürütülmesine olanak sağlayan başka yaklaşımlar da vardır, satır içi komut dosyasının karmasını CSP'de sağlamak olarak kullanır.
Önerilen tek seferlik rastgele sayı veya karma yaklaşımları uygun değilse
'unsafe-inline'
ekleyerek Etiket Yöneticisi satır içi komut dosyasını etkinleştirin
direktifini CSP'nin script-src
bölümüne ekleyin.
Bu yaklaşımın kullanılması için İGP'de aşağıdaki yönergeler gereklidir:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
connect-src www.googletagmanager.com
Özel JavaScript Değişkenleri
Özel JavaScript değişkenlerinin uygulanma şekli nedeniyle,
bir İGP mevcut olduğunda, 'unsafe-eval'
geçerli değilse undefined
olarak değerlendirilir
yönergesi CSP'nin script-src
bölümünde yer almaktadır.
script-src: 'unsafe-eval'
Önizleme Modu
Google Etiket Yöneticisi'nin Önizleme Modunu kullanmak için İGP'nin şu yönergelerden yararlanabilirsiniz:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
Google Analytics 4 (Google Analytics) etiketini kullanmak için İGP'de şu yönergelerden yararlanabilirsiniz:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
Google sinyallerini kullanan Google Analytics 4 (Google Analytics) dağıtımlarında CSP aşağıdaki yönergeleri içermelidir:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src: https://td.doubleclick.net
Universal Analytics (Google Analytics)
Universal Analytics (Google Analytics) etiketini kullanmak için İGP'nin şu yönergelerden yararlanabilirsiniz:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
Google Ads dönüşümleri
Google Ads dönüşüm etiketini kullanmak için İGP'nin aşağıdakileri içermesi gerekir: yönergeler:
Güvenli bağlantılar için:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com https://td.doubleclick.net
Güvenli olmayan bağlantılar için:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
Google Ads yeniden pazarlama
Google Ads yeniden pazarlama etiketi kullanmak için İGP'nin aşağıdakileri içermesi gerekir: emin olun.
Güvenli bağlantılar için:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
Güvenli olmayan bağlantılar için:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
Google Ads Kullanıcı Verileri İşaretçisi
İGP, güvenli bağlamlarda çalışırken Google Ads kullanıcı verisi işaretçilerini kullanmak için aşağıdaki yönergeleri içermelidir:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
Google Ads kullanıcı verileri işaretçisi güvenli olmayan bağlamlarda çalışmaz. Dolayısıyla CSP yapılandırmanın geçerli olmadığını unutmayın.
Floodlight
Floodlight kullanıcıları, aşağıdaki yapılandırmaları kullanarak İGP'leri etkinleştirebilir. Değiştir
<FLOODLIGHT-CONFIG-ID>
değerleri belirli bir
Floodlight reklamveren kimliği veya herhangi bir reklamveren kimliğine izin vermek için *
:
Tüm kullanıcılar için:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
"Özel komut dosyaları" için işaretçileri ekleme:
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
Resim etiketleri için:
img-src: https://ad.doubleclick.net
İzin modu için:
img-src: https://ade.googlesyndication.com