استخدام أداة "إدارة العلامات من Google" مع سياسة أمان المحتوى

سياسة أمان المحتوى (CSP) هي سياسة معتمَدة على نطاق واسع على الويب معيار أمان يهدف إلى منع أنواع معيّنة من الهجمات المستنِدة إلى الحقن من خلال منح المطورين إمكانية التحكم في الموارد التي تحمّلها تطبيقاتهم. يمكنك استخدام هذا الدليل لفهم كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي استخدام سياسة أمان محتوى (CSP).

تفعيل علامة الحاوية لاستخدام سياسة CSP

لاستخدام أداة "إدارة العلامات من Google" على صفحة تتضمن سياسة أمان (CSP)، يجب أن يسمح CSP بما يلي: تنفيذ رمز حاوية أداة "إدارة العلامات من Google" تم إنشاء هذه التعليمة البرمجية على أنها مضمّنة رمز JavaScript الذي يُدخل النص البرمجي gtm.js هناك عدة طرق للقيام مثل استخدام nonce أو التجزئة. والطريقة الموصى بها هي استخدام nonce، التي يجب أن تكون قيمة عشوائية لا يمكن تخمينها ينشئها الخادم. بشكل فردي لكل رد. أدخل القيمة nonce في Content-Security- التوجيه script-src للسياسة:

Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com

وبعد ذلك، استخدِم الإصدار غير الواعي بالسياق من رمز حاوية أداة "إدارة العلامات من Google" المضمّن. اضبط السمة nonce في عنصر النص البرمجي المضمّن على القيمة نفسها:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

ستعمل أداة "إدارة العلامات من Google" بعد ذلك على نشر رقم غير محدّد إلى أي نصوص برمجية تتم إضافتها إلى الصفحة.

هناك مناهج أخرى لتفعيل تنفيذ نص برمجي مُضمَّن، مثل مثل توفير جزء النص البرمجي المضمّن في سياسة أمان المحتوى (CSP).

وإذا لم تكن نهج nonce أو التجزئة الموصى به ممكنًا، فمن الممكن تفعيل النص البرمجي المضمّن في "إدارة العلامات من Google" من خلال إضافة 'unsafe-inline' التوجيه إلى قسم script-src في سياسة أمان المحتوى (CSP).

هناك حاجة إلى التوجيهات التالية في سياسة أمان المحتوى (CSP) لاستخدام هذا النهج:

script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
connect-src www.googletagmanager.com

متغيّرات JavaScript المخصّصة

نظرًا لكيفية تنفيذ متغيرات JavaScript المخصصة، سيتم تقييمه إلى undefined في حال توفُّر سياسة أمان (CSP) ما لم يجب 'unsafe-eval' يتم تقديم التوجيه في القسم script-src من سياسة أمان المحتوى (CSP).

script-src: 'unsafe-eval'

وضع المعاينة

لاستخدام وضع المعاينة في "إدارة العلامات من Google"، يجب أن يتضمن CSP للتوجيهات التالية:

script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:

إحصاءات Google 4 ("إحصاءات Google")

لاستخدام علامة "إحصاءات Google 4" (Google Analytics)، يجب أن يتضمّن CSP للتوجيهات التالية:

script-src:  https://*.googletagmanager.com
img-src:     https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com

بالنسبة إلى عمليات نشر "إحصاءات Google 4" ("إحصاءات Google") باستخدام "إشارات Google"، يجب أن يتضمن CSP التوجيهات التالية:

script-src:  https://*.googletagmanager.com
img-src:     https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
             https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
             https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src:   https://td.doubleclick.net

Universal Analytics ("إحصاءات Google")

لاستخدام علامة Universal Analytics (Google Analytics)، يجب أن يتضمن CSP للتوجيهات التالية:

script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com

لاستخدام علامة إحالة ناجحة من "إعلانات Google"، يجب أن يتضمن CSP ما يلي: الأوامر:

للاتصالات الآمنة:

script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com https://td.doubleclick.net

بالنسبة إلى الاتصالات غير الآمنة:

script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com

لاستخدام علامة تجديد النشاط التسويقي في "إعلانات Google"، يجب أن يتضمن CSP ما يلي: توجيهاتك.

للاتصالات الآمنة:

script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net

بالنسبة إلى الاتصالات غير الآمنة:

script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net

لاستخدام إشارات بيانات المستخدم في "إعلانات Google" عند تشغيلها في سياقات آمنة، يجب على سياسة أمان المحتوى (CSP) التوجيهات التالية:

script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com

ولا يعمل إشارة بيانات مستخدم إعلانات Google في سياقات غير آمنة، لذا فإن سياسة CSP التكوين في هذه الحالات لا ينطبق.

Floodlight

يمكن لمستخدمي Floodlight تفعيل "مقدّمي الخدمات لصنّاع المحتوى" (CSP) باستخدام الإعدادات التالية. استبدال قيم <FLOODLIGHT-CONFIG-ID> إما مع قيمة محددة الرقم التعريفي لمعلِن Floodlight أو * للسماح بأي رقم تعريفي للمعلِن:

لجميع المستخدمين:

img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net

لـ "النصوص البرمجية المخصصة" أجهزة المرشد في "إدارة العلامات من Google":

frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net

بالنسبة إلى علامات الصور:

img-src: https://ad.doubleclick.net

بالنسبة إلى وضع الموافقة:

img-src: https://ade.googlesyndication.com