سياسة أمان المحتوى (CSP) هي معيار من معايير أمان الويب المتاح على نطاق واسع والذي يهدف إلى منع أنواع معيّنة من الهجمات المستنِدة إلى الحقن من خلال منح المطوّرين إمكانية التحكُّم في الموارد التي تحمِّلها تطبيقاتهم. استخدِم هذا الدليل لفهم كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي تستخدم سياسة أمان المحتوى (CSP).
تفعيل علامة الحاوية لاستخدام سياسة CSP
لاستخدام أداة "إدارة العلامات من Google" على صفحة تحتوي على سياسة أمان محتوى (CSP)، يجب أن تسمح هذه الخدمة بتنفيذ رمز حاوية أداة "إدارة العلامات من Google". يتم إنشاء هذا الرمز كرمز JavaScript مضمَّن يتم من خلاله إدخال النص البرمجي gtm.js. هناك عدة طرق للقيام بذلك،
مثل استخدام nonce أو التجزئة. والطريقة الموصى بها هي استخدام nonce (قيمة عشوائية) يجب أن يكون قيمة عشوائية لا يمكن تخمينها وينشئها الخادم
بشكل فردي لكل رد. أدخِل القيمة nonce في توجيه script-src لسياسة أمان المحتوى:
Content-Security-Policy: script-src 'nonce-{SERVER-GENERATED-NONCE}'; img-src www.googletagmanager.com
وبعد ذلك، استخدِم الإصدار غير الواعي من رمز حاوية أداة "إدارة العلامات من Google" المضمّنة. اضبط سمة nonce في عنصر النص البرمجي المضمّن على القيمة نفسها:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
وستنشر أداة "إدارة العلامات من Google" بعد ذلك المعلومات الخاصة بأي نصوص برمجية تُضيفها إلى الصفحة.
هناك طرق أخرى لتفعيل تنفيذ نص برمجي مضمّن، مثل توفير تجزئة النص البرمجي المضمّن في سياسة أمان المحتوى (CSP).
إذا لم تكن مناهج التجزئة أو nonce المُقترحة ممكنة، من الممكن تفعيل النص البرمجي المضمّن في "إدارة العلامات من Google" عن طريق إضافة التوجيه 'unsafe-inline' إلى قسم script-src في سياسة أمان المحتوى (CSP).
يجب استخدام التوجيهات التالية في سياسة أمان المحتوى لاستخدام هذا الأسلوب:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
متغيرات JavaScript المخصّصة
ونظرًا لطريقة تنفيذ متغيّرات JavaScript المخصَّصة، سيتم تقييمها على undefined في حال توفُّر سياسة CSP ما لم يتم تقديم التوجيه 'unsafe-eval' في القسم script-src من سياسة أمان المحتوى (CSP).
script-src: 'unsafe-eval'
وضع المعاينة
لاستخدام وضع المعاينة في أداة "إدارة العلامات من Google"، يجب أن يتضمّن CSP التوجيهات التالية:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
إحصاءات Google 4 (إحصاءات Google)
لاستخدام علامة "إحصاءات Google 4" (Google Analytics)، يجب أن تتضمّن سياسة أمان المحتوى (CSP) التوجيهات التالية:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
بالنسبة إلى عمليات نشر "إحصاءات Google 4" ("إحصاءات Google") باستخدام "إشارات Google"، يجب أن يتضمّن برنامج CSP التوجيهات التالية:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
Universal Analytics ("إحصاءات Google")
لاستخدام علامة Universal Analytics (Google Analytics)، يجب أن يتضمّن مقدم خدمة CSP التوجيهات التالية:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
الإحالات الناجحة في "إعلانات Google"
لاستخدام علامة إحالة ناجحة في "إعلانات Google"، يجب أن يتضمّن مقدم خدمة CSP التوجيهات التالية:
للاتصالات الآمنة:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com
بالنسبة إلى الاتصالات غير الآمنة:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
تجديد النشاط التسويقي في "إعلانات Google"
لاستخدام علامة تجديد النشاط التسويقي في "إعلانات Google"، يجب أن يتضمن مقدم خدمة CSP التوجيهات التالية.
للاتصالات الآمنة:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
بالنسبة إلى الاتصالات غير الآمنة:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
إشارة بيانات المستخدمين في "إعلانات Google"
لاستخدام إشارات بيانات المستخدم في "إعلانات Google" عند تشغيلها في سياقات آمنة، يجب أن تتضمّن سياسة CSP التوجيهات التالية:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
لا يعمل مؤشر بيانات المستخدم في "إعلانات Google" في سياقات غير آمنة، لذا، لا يمكن تنفيذ إعداد سياسة CSP في هذه الحالات.
Floodlight
يمكن لمستخدمي Floodlight تفعيل "مقدّمي الخدمات لصنّاع المحتوى" (CSP) باستخدام الإعدادات التالية. استبدِل
قيم <FLOODLIGHT-CONFIG-ID> إما برقم تعريفي محدّد للمعلِن في Floodlight
أو * للسماح بأي رقم تعريفي للمعلِن:
لجميع المستخدمين:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
بالنسبة إلى إشارات "النصوص البرمجية المخصّصة" في أداة "إدارة العلامات من Google":
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
بالنسبة إلى علامات الصور:
img-src: https://ad.doubleclick.net
بالنسبة إلى وضع الموافقة:
img-src: https://ade.googlesyndication.com