কনটেন্ট সিকিউরিটি পলিসি (CSP) হল একটি ব্যাপকভাবে সমর্থিত ওয়েব সিকিউরিটি স্ট্যান্ডার্ড যা ডেভেলপারদের তাদের অ্যাপ্লিকেশন দ্বারা লোড করা সংস্থানগুলির উপর নিয়ন্ত্রণ প্রদান করে নির্দিষ্ট ধরণের ইনজেকশন-ভিত্তিক আক্রমণ প্রতিরোধ করার উদ্দেশ্যে। একটি CSP ব্যবহার করে এমন সাইটগুলিতে কীভাবে Google ট্যাগ ম্যানেজার স্থাপন করবেন তা বোঝার জন্য এই নির্দেশিকাটি ব্যবহার করুন৷
CSP ব্যবহার করতে কন্টেইনার ট্যাগ সক্রিয় করুন
একটি CSP সহ একটি পৃষ্ঠায় Google ট্যাগ ম্যানেজার ব্যবহার করতে, CSP-কে আপনার ট্যাগ ম্যানেজার কন্টেইনার কোড কার্যকর করার অনুমতি দিতে হবে। এই কোডটি ইনলাইন জাভাস্ক্রিপ্ট কোড হিসাবে তৈরি করা হয়েছে যা gtm.js স্ক্রিপ্টকে ইনজেক্ট করে। এটি করার বিভিন্ন উপায় রয়েছে, যেমন ননস বা হ্যাশ ব্যবহার করা। প্রস্তাবিত পদ্ধতি হল একটি nonce ব্যবহার করা, যা একটি অনুমানযোগ্য, এলোমেলো মান হওয়া উচিত যা সার্ভার প্রতিটি প্রতিক্রিয়ার জন্য পৃথকভাবে তৈরি করে। বিষয়বস্তু-নিরাপত্তা-নীতি script-src নির্দেশে ননস মান সরবরাহ করুন:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
তারপর ইনলাইন ট্যাগ ম্যানেজার কন্টেইনার কোডের অজ্ঞাত সংস্করণ ব্যবহার করুন। ইনলাইন স্ক্রিপ্ট উপাদানটিতে ননস অ্যাট্রিবিউটটিকে একই মানটিতে সেট করুন:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
ট্যাগ ম্যানেজার তারপর পৃষ্ঠায় যোগ করে এমন কোনো স্ক্রিপ্টে ননস প্রচার করবে।
ইনলাইন স্ক্রিপ্ট কার্যকর করার অন্যান্য পদ্ধতি রয়েছে, যেমন CSP-তে ইনলাইন স্ক্রিপ্টের হ্যাশ সরবরাহ করা।
যদি প্রস্তাবিত ননস বা হ্যাশ পদ্ধতিগুলি সম্ভব না হয়, তাহলে CSP-এর script-src বিভাগে 'unsafe-inline' নির্দেশিকা যোগ করে ট্যাগ ম্যানেজার ইনলাইন স্ক্রিপ্ট সক্রিয় করা সম্ভব।
এই পদ্ধতি ব্যবহার করার জন্য CSP-তে নিম্নলিখিত নির্দেশাবলী প্রয়োজন:
script-src 'unsafe-inline' https://www.googletagmanager.com
img-src www.googletagmanager.com
connect-src www.googletagmanager.com
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবল
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবলগুলি কীভাবে প্রয়োগ করা হয় তার কারণে, সিএসপি-র script-src বিভাগে 'unsafe-eval' নির্দেশনা দেওয়া না থাকলে তারা সিএসপির উপস্থিতিতে undefined হিসাবে মূল্যায়ন করবে।
script-src 'unsafe-eval'
প্রিভিউ মোড
Google ট্যাগ ম্যানেজারের পূর্বরূপ মোড ব্যবহার করার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src https://googletagmanager.com https://tagmanager.google.com
style-src https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
গুগল অ্যানালিটিক্স 4 (গুগল অ্যানালিটিক্স) ট্যাগ ব্যবহার করার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.googletagmanager.com
connect-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
গুগল সিগন্যাল ব্যবহার করে গুগল অ্যানালিটিক্স 4 (গুগল অ্যানালিটিক্স) স্থাপনার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src https://td.doubleclick.net
Google বিজ্ঞাপন রূপান্তর
একটি Google বিজ্ঞাপন রূপান্তর ট্যাগ ব্যবহার করতে, CSP-তে নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
নিরাপদ সংযোগের জন্য:
script-src https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src https://googleads.g.doubleclick.net https://www.google.com https://google.com https://pagead2.googlesyndication.com
frame-src https://www.googletagmanager.com https://td.doubleclick.net
connect-src https://pagead2.googlesyndication.com
অ-সুরক্ষিত সংযোগের জন্য:
script-src www.googleadservices.com www.google.com www.googletagmanager.com
img-src googleads.g.doubleclick.net www.google.com google.com pagead2.googlesyndication.com
connect-src pagead2.googlesyndication.com
গুগল বিজ্ঞাপন পুনরায় বিপণন
একটি Google Ads রিমার্কেটিং ট্যাগ ব্যবহার করতে, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে।
নিরাপদ সংযোগের জন্য:
script-src https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src https://www.google.com https://google.com
frame-src https://td.doubleclick.net
অ-সুরক্ষিত সংযোগের জন্য:
script-src www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src www.google.com google.com
frame-src td.doubleclick.net
Google বিজ্ঞাপন ব্যবহারকারী ডেটা বীকন
নিরাপদ প্রেক্ষাপটে চলার সময় Google Ads ব্যবহারকারীর ডেটা বীকন ব্যবহার করতে, CSP-কে নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src https://www.googletagmanager.com
frame-src https://www.googletagmanager.com
Google বিজ্ঞাপন ব্যবহারকারীর ডেটা বীকন অনিরাপদ প্রসঙ্গে চলে না, তাই এই ক্ষেত্রে CSP কনফিগারেশন প্রযোজ্য নয়।
ফ্লাডলাইট
ফ্লাডলাইট ব্যবহারকারীরা নিম্নলিখিত কনফিগারেশনগুলি ব্যবহার করে CSP সক্ষম করতে পারেন৷ <FLOODLIGHT-CONFIG-ID> মানগুলিকে একটি নির্দিষ্ট ফ্লাডলাইট বিজ্ঞাপনদাতা আইডি দিয়ে প্রতিস্থাপন করুন, অথবা * যেকোনো বিজ্ঞাপনদাতা আইডিকে অনুমতি দিতে:
সমস্ত ব্যবহারকারীদের জন্য:
img-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src https://td.doubleclick.net
ট্যাগ ম্যানেজারে "কাস্টম স্ক্রিপ্ট" বীকনের জন্য:
frame-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
ইমেজ ট্যাগের জন্য:
img-src https://ad.doubleclick.net
সম্মতি মোডের জন্য:
img-src https://ade.googlesyndication.com