سياسة أمان المحتوى (CSP) هي سياسة معتمَدة على نطاق واسع على الويب معيار أمان يهدف إلى منع أنواع معيّنة من الهجمات المستنِدة إلى الحقن من خلال منح المطورين إمكانية التحكم في الموارد التي تحمّلها تطبيقاتهم. يمكنك استخدام هذا الدليل لفهم كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي استخدام سياسة أمان محتوى (CSP).
تفعيل علامة الحاوية لاستخدام سياسة CSP
لاستخدام أداة "إدارة العلامات من Google" على صفحة تتضمن سياسة أمان (CSP)، يجب أن يسمح CSP بما يلي:
تنفيذ رمز حاوية أداة "إدارة العلامات من Google" تم إنشاء هذه التعليمة البرمجية على أنها مضمّنة
رمز JavaScript الذي يُدخل النص البرمجي gtm.js
هناك عدة طرق للقيام
مثل استخدام nonce أو التجزئة. والطريقة الموصى بها هي استخدام
nonce، التي يجب أن تكون قيمة عشوائية لا يمكن تخمينها ينشئها الخادم.
بشكل فردي لكل رد. أدخل القيمة nonce في Content-Security-
التوجيه script-src
للسياسة:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
وبعد ذلك، استخدِم الإصدار غير الواعي بالسياق من رمز حاوية أداة "إدارة العلامات من Google" المضمّن. اضبط السمة nonce في عنصر النص البرمجي المضمّن على القيمة نفسها:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
ستعمل أداة "إدارة العلامات من Google" بعد ذلك على نشر رقم غير محدّد إلى أي نصوص برمجية تتم إضافتها إلى الصفحة.
هناك مناهج أخرى لتفعيل تنفيذ نص برمجي مُضمَّن، مثل مثل توفير جزء النص البرمجي المضمّن في سياسة أمان المحتوى (CSP).
وإذا لم تكن نهج nonce أو التجزئة الموصى به ممكنًا، فمن الممكن
تفعيل النص البرمجي المضمّن في "إدارة العلامات من Google" من خلال إضافة 'unsafe-inline'
التوجيه إلى قسم script-src
في سياسة أمان المحتوى (CSP).
هناك حاجة إلى التوجيهات التالية في سياسة أمان المحتوى (CSP) لاستخدام هذا النهج:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
connect-src www.googletagmanager.com
متغيّرات JavaScript المخصّصة
نظرًا لكيفية تنفيذ متغيرات JavaScript المخصصة،
سيتم تقييمه إلى undefined
في حال توفُّر سياسة أمان (CSP) ما لم يجب 'unsafe-eval'
يتم تقديم التوجيه في القسم script-src
من سياسة أمان المحتوى (CSP).
script-src: 'unsafe-eval'
وضع المعاينة
لاستخدام وضع المعاينة في "إدارة العلامات من Google"، يجب أن يتضمن CSP للتوجيهات التالية:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
إحصاءات Google 4 ("إحصاءات Google")
لاستخدام علامة "إحصاءات Google 4" (Google Analytics)، يجب أن يتضمّن CSP للتوجيهات التالية:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
بالنسبة إلى عمليات نشر "إحصاءات Google 4" ("إحصاءات Google") باستخدام "إشارات Google"، يجب أن يتضمن CSP التوجيهات التالية:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src: https://td.doubleclick.net
Universal Analytics ("إحصاءات Google")
لاستخدام علامة Universal Analytics (Google Analytics)، يجب أن يتضمن CSP للتوجيهات التالية:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
الإحالات الناجحة في "إعلانات Google"
لاستخدام علامة إحالة ناجحة من "إعلانات Google"، يجب أن يتضمن CSP ما يلي: الأوامر:
للاتصالات الآمنة:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com https://td.doubleclick.net
بالنسبة إلى الاتصالات غير الآمنة:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
تجديد النشاط التسويقي في "إعلانات Google"
لاستخدام علامة تجديد النشاط التسويقي في "إعلانات Google"، يجب أن يتضمن CSP ما يلي: توجيهاتك.
للاتصالات الآمنة:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
بالنسبة إلى الاتصالات غير الآمنة:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
إشارة إلى بيانات المستخدمين في "إعلانات Google"
لاستخدام إشارات بيانات المستخدم في "إعلانات Google" عند تشغيلها في سياقات آمنة، يجب على سياسة أمان المحتوى (CSP) التوجيهات التالية:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
ولا يعمل إشارة بيانات مستخدم إعلانات Google في سياقات غير آمنة، لذا فإن سياسة CSP التكوين في هذه الحالات لا ينطبق.
Floodlight
يمكن لمستخدمي Floodlight تفعيل "مقدّمي الخدمات لصنّاع المحتوى" (CSP) باستخدام الإعدادات التالية. استبدال
قيم <FLOODLIGHT-CONFIG-ID>
إما مع قيمة محددة
الرقم التعريفي لمعلِن Floodlight أو *
للسماح بأي رقم تعريفي للمعلِن:
لجميع المستخدمين:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
لـ "النصوص البرمجية المخصصة" أجهزة المرشد في "إدارة العلامات من Google":
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
بالنسبة إلى علامات الصور:
img-src: https://ad.doubleclick.net
بالنسبة إلى وضع الموافقة:
img-src: https://ade.googlesyndication.com