伺服器端自訂範本權限

本文件概述伺服器端自訂範本的權限。


每個權限皆具有以下特性:

  • 由需要這些 API 的 API 檢查。
  • 根據 API 使用的 API,在沙箱模式 JavaScript 中自動偵測。 這會發生在自訂範本編輯器中編輯內容時 以及程式碼編譯時間 (以便驗證 系統會強制執行權限要求)。
  • 可在自訂範本編輯器中編輯,讓權限更加明確。
  • 可透過 queryPermission API 在採用沙箱機制的 JavaScript 中查詢。

access_bigquery

顯示名稱:存取 BigQuery

說明:允許存取 Google Cloud Platform 上的 BigQuery。

設定:允許指定專案、資料集和資料表的選項 搭配 BigQuery 使用。將專案 ID 設定設為 GOOGLE_CLOUD_PROJECT 將允許使用 GOOGLE_CLOUD_PROJECT 環境 變數做為專案 ID (從 BigQuery API parameter 中排除 projectId)。

要求原因: BigQuery

查詢簽名: queryPermission('access_bigquery', <operation>, <options>)

注意: <operation> 是字串,可包含下列值:

  • write

<options> 物件包含下列項目:

{
  'projectId': <project_id>,
  'datasetId': <dataset_id>,
  'tableId': <table_id>
}

範例程式碼

const BigQuery = require('BigQuery');
const queryPermission = require('queryPermission');

const connectionInfo = {
  'projectId': 'gcp-cloud-project-id',
  'datasetId': 'destination-dataset',
  'tableId': 'destination-table',
};

if (queryPermission('access_bigquery', 'write', connectionInfo)) {
  const rows = [{
    'column1': 'String1',
    'column2': 1234,
  }];
  const options = {
    'ignoreUnknownValues': true,
    'skipInvalidRows': false,
  };

  BigQuery.insert(connectionInfo, rows, options)
      .then(data.gtmOnSuccess, data.gtmOnFailure);
}

access_firestore

顯示名稱:存取 Google Firestore

說明:允許存取 Google Firestore。

設定:允許指定專案和路徑 (萬用字元語法) 的選項 ) 組合,以便與 Firestore 搭配使用。設定專案 ID GOOGLE_CLOUD_PROJECT 設定允許使用 當projectId時,將 GOOGLE_CLOUD_PROJECT 環境變數做為專案 ID 已從Firestore API parameter中排除。

要求原因: Firestore

查詢簽章: queryPermission('access_firestore', <operation>, <options>)

注意: <operation> 是字串,可包含下列值:

  • 讀取 - 授予讀取和查詢 API 的權限
  • 寫入 - 授予 API 的寫入權限
  • read_write - 授予讀取、寫入和查詢 API 的存取權

<options> 物件包含下列項目:

{
  'projectId': <project_id>,
  'path': <path>
}

範例程式碼

const Firestore = require('Firestore');
const queryPermission = require('queryPermission');

const options = {
  'projectId': 'gcp-cloud-project-id',
  'path': 'collection/document',
};

if (queryPermission('access_firestore', 'read', options)) {
  Firestore.read('collection/document', {
    projectId: 'gcp-cloud-project-id',
  }).then(data.gtmOnSuccess, data.gtmOnFailure);
}

access_response

顯示名稱:存取回應

說明:存取回應內文、標頭或狀態。

設定:允許任何或特定存取權的選項,以及用於控管對各種子元件存取權的子選項。

必要者: setPixelResponsesetResponseBodysetResponseHeadersetResponseStatus

查詢簽章: queryPermission('access_response', 'write', <component>[, <optional component name>])

注意:管理是否可存取外送 HTTP 回應元件。

範例程式碼

const queryPermission = require('queryPermission');
const setResponseBody = require('setResponseBody');
const setResponseHeader = require('setResponseHeader');
const setResponseStatus = require('setResponseStatus');
if (queryPermission('access_response', 'write', 'header', 'Content-Type')) {
  setResponseHeader('Content-Type', 'text/plain');
}
if (queryPermission('access_response', 'write', 'body')) {
  setResponseBody('Not Found');
}
if (queryPermission('access_response', 'write', 'status')) {
  setResponseStatus(404);
}

access_template_storage

顯示名稱:存取範本儲存空間

說明:允許針對可使用的範本暫時儲存空間 在整個伺服器端程序的生命週期內皆會保持有效。

設定:

要求原因: templateDataStorage

查詢簽章: queryPermission('access_template_storage')

範例程式碼

const queryPermission = require('queryPermission');
const templateDataStorage = require('templateDataStorage');
const key = 'my_key';
if (queryPermission('access_template_storage')) {
  const value = templateDataStorage.getItemCopy(key);
}

get_cookies

顯示名稱:讀取 Cookie 值

說明:讀取具有指定名稱的 Cookie 值。

設定:允許讀取的 Cookie 名稱清單。

要求原因: getCookieValues

查詢簽章: queryPermission('get_cookies', <name>)

注意:根據 Cookie 名稱,可管理 Cookie 是否可讀取。

範例程式碼

const queryPermission = require('queryPermission');
const getCookieValues = require('getCookieValues');
const cookieName = 'info';
let cookieValues;
if (queryPermission('get_cookies', cookieName)) {
  cookieValues = getCookieValues(cookieName);
}

logging

顯示名稱:前往主控台

說明:記錄到開發人員控制台和代碼管理工具預覽模式的記錄。

設定:在實際工作環境中啟用記錄功能的選項。預設為僅限 在偵錯/預覽中啟用記錄功能。如果權限遭拒,logToConsole 會 不會擲回錯誤,但會隱藏記錄訊息。

要求原因: logToConsole

查詢簽章: queryPermission('logging')

注意:控制自訂範本是否能登入開發人員控制台。

範例程式碼

const queryPermission = require('queryPermission');
const logToConsole = require('logToConsole');
// Note that it's fine to call log, since the log call will be ignored if
// logging isn't permitted in the current environment.
logToConsole('diagnostic info');

use_message

顯示名稱:使用訊息

說明:使用 addMessageListener 收發郵件,或 sendMessage API。

設定:指定訊息類型以及範本是否為範本的選項。 可以聆聽、傳送或同時聆聽

必要條件:addMessageListenersendMessage

查詢簽名:queryPermission('use_message', <usage>, <message type>)

注意:用量可以是 listensendlisten_and_send 其中之一。

範例程式碼

const queryPermission = require('queryPermission');
const sendMessage = require('sendMessage');
if (queryPermission('use_message', 'send', 'set_cookie')) {
  sendMessage('set_cookie', {name: 'foo', value: 'bar'});
}

read_container_data

顯示名稱:讀取容器資料

說明:讀取容器相關資料。

設定:無。

要求原因: getClientNamegetContainerVersion

查詢簽章: queryPermission('read_container_data')

注意:控制自訂範本是否可讀取容器資料。

程式碼範例

const getContainerVersion = require('getContainerVersion');
const queryPermission = require('queryPermission');
if (queryPermission('read_container_data')) {
  return getContainerVersion();
}

read_event_data

顯示名稱:讀取事件資料

說明:讀取事件資料。

設定:允許任何存取權的選項,或由允許的鍵值路徑清單控制的特定存取權 (支援萬用字元語法)。

要求原因: getAllEventDatagetEventData

查詢簽章: queryPermission('read_event_data'[, <optional key>])

注意:控制自訂範本能否讀取特定鍵的事件資料 路徑 (如果沒有指定鍵路徑,則為所有事件資料)。

範例程式碼

const getAllEventData = require('getAllEventData');
const queryPermission = require('queryPermission');
if (queryPermission('read_event_data')) {
  return getAllEventData();
}
const getEventData = require('getEventData');
const queryPermission = require('queryPermission');
const keyPath = 'parentField.childField';
if (queryPermission('read_event_data', keyPath)) {
  return getEventData(keyPath);
}

read_event_metadata

顯示名稱:讀取事件中繼資料

說明:讀取事件回呼中的事件中繼資料

設定:

要求原因: addEventCallback

查詢簽章: queryPermission('read_event_metadata')

注意:指定自訂範本能否讀取以下事件中繼資料: 回呼函式。

範例程式碼

const queryPermission = require('queryPermission');
const addEventCallback = require('addEventCallback');
if (queryPermission('read_event_metadata')) {
  addEventCallback((containerId, eventMetadata) => {
    // Read event metadata.
  });
}

read_request

顯示名稱:讀取 HTTP 要求

說明:讀取要求標頭、查詢參數、內文、路徑或 遠端 IP 位址

設定:選擇允許任何或特定存取權,並提供以下項目的子選項: 控制各種子元件的存取權

必要者: extractEventsFromMpv1extractEventsFromMpv2getRemoteAddressgetRequestBodygetRequestHeadergetRequestPathgetRequestQueryParametergetRequestQueryParametersgetRequestQueryString

查詢簽章: queryPermission('read_request', <component>[, <optional component name>])

注意:管理是否可以存取傳入的 HTTP 回應元件。

範例程式碼

const queryPermission = require('queryPermission');
const getRequestBody = require('getRequestBody');
const getRequestHeader = require('getRequestHeader');
let body, contentType;
if (queryPermission('read_request', 'body')) {
  body = getRequestBody();
}
if (queryPermission('read_request', 'header', 'content-type')) {
  contentType = getRequestHeader('content-type');
}
if (body && contentType == 'application/json') { ... }

return_response

顯示名稱:傳回回應

說明:將回應傳回呼叫端。

設定:

要求原因: returnResponse

查詢簽章: queryPermission('return_response')

注意:這項權限沒有較小的欄位,且一般不查詢 。

run_container

顯示名稱:執行容器

說明:執行含有事件的容器

設定:

要求原因: runContainer

查詢簽章: queryPermission('run_container')

注意:這項權限沒有較小的欄位,且一般不查詢 。

send_http

顯示名稱:傳送 HTTP 要求

說明:將 HTTP 要求傳送至指定網址。

必要者: getGoogleScriptsendEventToGoogleAnalyticssendHttpGetsendHttpRequest

查詢簽名:queryPermission('send_http', <url>)

注意:根據網址,管理是否可以發出 HTTP 要求。 為確保連線安全,系統只允許安全 (HTTPS) 網址。

範例程式碼

const queryPermission = require('queryPermission');
const sendHttpGet = require('sendHttpGet');
const url = 'https://example.com/search?query=foo&results=10';
if (queryPermission('send_http', url)) {
  sendHttpGet(url);
}

send_pixel_from_browser

顯示名稱:從瀏覽器傳送像素

說明:從瀏覽器傳送 GET 要求到指定網址。

要求原因: sendPixelFromBrowser

查詢簽章: queryPermission('send_pixel_from_browser', <url>)

注意:管理是否能從瀏覽器傳送要求,取決於 網址。

程式碼範例

const queryPermission = require('queryPermission');
const sendPixelFromBrowser = require('sendPixelFromBrowser');
const url = 'https://example.com/search?query=foo&results=10';
if (queryPermission('send_pixel_from_browser', url)) {
  sendPixelFromBrowser(url);
}

set_cookies

顯示名稱:設定 Cookie

說明:設定具有指定名稱和參數的 Cookie。

設定:一份允許使用的 Cookie 名稱表格,每個名稱都有選填 對名稱、網域、路徑、secure 屬性和到期日的限制。

依下列項目規定為必填:setCookie

查詢簽章: queryPermission('set_cookies', <name>, <options>)

注意:管理是否含有指定的「Set-Cookie」可以將標頭新增至 回應 (視 Cookie 名稱、網域、路徑、secure 屬性和 到期。

範例程式碼

const queryPermission = require('queryPermission');
const setCookie = require('setCookie');
const options = {
  'domain': 'www.example.com',
  'path': '/',
  'max-age': 60*60*24*365,
  'secure': true
};
if (queryPermission('set_cookies', 'info', options)) {
  setCookie('info', 'xyz', options);
}

use_custom_private_keys

顯示名稱:使用自訂私密金鑰

說明:使用 JSON 金鑰檔案中的私密金鑰進行加密 作業。

設定:允許的鍵 ID 清單。ID 必須與 SGTM_CREDENTIALS 環境變數參照的 JSON 金鑰檔案 在伺服器上

要求原因: hmacSha256

查詢簽章: queryPermission('use_custom_private_keys', <key id>)

注意:管理允許的私密金鑰清單。

範例程式碼

const hmacSha256= require('hmacSha256');
const queryPermission = require('queryPermission');
const keyId = 'key1';

let result;
if (queryPermission('use_custom_private_keys', keyId)) {
  result = hmacSha256('my_data', keyId);
}

use_google_credentials

顯示名稱:使用 Google 應用程式預設憑證

說明:使用 Google 預設憑證呼叫 Google 相互整合

設定:允許的 Google OAuth 2.0 範圍清單。

要求原因: getGoogleAuth

查詢簽章: queryPermission('use_google_credentials', <scopes>)

注意:限制可與 Google 搭配使用的 Google OAuth 2.0 範圍 相互整合

範例程式碼

const getGoogleAuth = require('getGoogleAuth');
const queryPermission = require('queryPermission');

const scopes = [
  'https://www.googleapis.com/auth/datastore'
];

let auth;
if (queryPermission('use_google_credentials', scopes)) {
  auth = getGoogleAuth(scopes);
}