注意:此开发者网站正在向 developers.google.com/tag-platform 迁移,2021 年 9 月 30 日起系统会将您重定向到新的网址

将 Google 跟踪代码管理器与内容安全政策配合使用

简介

内容安全政策 (CSP) 是一种受到广泛支持的网络安全标准,旨在通过让开发者控制应用可以加载的资源,来防止某些类型的基于内容注入的攻击。通过本指南,您可以了解如何在使用 CSP 的网站上部署 Google 跟踪代码管理器。

启用 Google 跟踪代码管理器代码段

要在实施了内容安全政策的网页上使用 Google 跟踪代码管理器,CSP 必须允许执行 Google 跟踪代码管理器代码段(一种注入 gtm.js 脚本的内嵌 JavaScript 代码段)。为此,您可以采用多种方式,例如使用 Nonce 或哈希值。我们推荐采用 Nonce 值,它应该是服务器为每次响应单独生成的一个无法猜测的随机值。在内容安全政策 script-src 指令中,提供该 Nonce 值:

Content-Security-Policy: script-src 'nonce-{SERVER-GENERATED-NONCE}'; img-src www.googletagmanager.com

然后,使用可获知 Nonce 的内嵌式 Google 跟踪代码管理器代码段版本,将内嵌脚本元素上的 Nonce 属性设为以下值:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-{YOUR-CONTAINER-ID}');</script>
<!-- End Google Tag Manager -->

随后,Google 跟踪代码管理器会将 Nonce 的值复制到它在网页中添加的任何脚本上。

还可以通过其他方法启用内嵌脚本的执行,例如提供 CSP 中内嵌脚本的哈希。如需进一步了解详情,请参阅 CSP 文档。

如果推荐的 Nonce 或哈希方法不可行,可将 'unsafe-inline' 指令添加到 CSP 的 script-src 部分中,以此方式启用 Google 跟踪代码管理器内嵌脚本。

要使用此方法,必须在 CSP 中使用以下指令:

script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com

自定义 JavaScript 变量

由于自定义 JavaScript 变量的实现方式不一样,因此它们将在 CSP 存在的情况下评估为 undefined,除非在 CSP 的 script-src 部分提供 'unsafe-eval' 指令。

script-src: 'unsafe-eval'

预览模式

要使用 Google 跟踪代码管理器的预览模式,CSP 必须包含以下指令:

script-src: https://tagmanager.google.com
style-src: https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:

Universal Analytics(Google Analytics(分析))

要使用 Universal Analytics(Google Analytics(分析))代码,CSP 必须包含以下指令:

script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com

Google 优化工具

要使用 Google 优化工具代码,内容安全政策必须包含以下指令:

script-src: https://www.google-analytics.com

要使用 Google Ads 转化跟踪代码,内容安全政策必须包含以下指令:

对于安全连接:

script-src: https://www.googleadservices.com https://www.google.com
img-src: https://googleads.g.doubleclick.net https://www.google.com

对于非安全连接:

script-src: www.googleadservices.com www.google.com
img-src: googleads.g.doubleclick.net www.google.com

要使用 Google Ads 再营销代码,内容安全政策必须包含以下指令:

对于安全连接:

script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com
frame-src: https://bid.g.doubleclick.net

对于非安全连接:

script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com
frame-src: bid.g.doubleclick.net