Chính sách bảo mật nội dung (CSP) là một tiêu chuẩn bảo mật web được hỗ trợ rộng rãi. Tiêu chuẩn này nhằm ngăn chặn một số loại tấn công nhất định dựa trên tính năng chèn bằng cách cho phép nhà phát triển kiểm soát các tài nguyên mà ứng dụng của họ tải. Hãy làm theo hướng dẫn này để tìm hiểu cách triển khai Trình quản lý thẻ của Google trên những trang web sử dụng CSP.
Bật thẻ vùng chứa để sử dụng CSP
Để sử dụng Trình quản lý thẻ của Google trên một trang có CSP, CSP đó phải cho phép thực thi mã vùng chứa Trình quản lý thẻ. Mã này được tạo dưới dạng mã JavaScript cùng dòng để chèn tập lệnh gtm.js. Có một số cách để thực hiện việc này, chẳng hạn như sử dụng số chỉ dùng một lần hoặc hàm băm. Bạn nên sử dụng số chỉ dùng một lần. Đây phải là giá trị ngẫu nhiên, không thể đoán được mà máy chủ tạo riêng cho từng phản hồi. Cung cấp giá trị số chỉ dùng một lần trong chỉ thị script-src của Chính sách bảo mật nội dung:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
Sau đó, hãy sử dụng phiên bản nhận biết số chỉ dùng một lần của mã vùng chứa Trình quản lý thẻ nội tuyến. Đặt thuộc tính số chỉ dùng một lần trên phần tử tập lệnh nội tuyến thành cùng một giá trị này:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
Sau đó, Trình quản lý thẻ sẽ truyền số chỉ dùng một lần đến mọi tập lệnh mà nó thêm vào trang.
Có nhiều phương pháp khác để cho phép thực thi tập lệnh cùng dòng, chẳng hạn như cung cấp hàm băm của tập lệnh cùng dòng trong CSP.
Nếu không thể sử dụng phương pháp số chỉ dùng một lần hoặc băm được đề xuất, bạn có thể bật tập lệnh nội tuyến của Trình quản lý thẻ bằng cách thêm lệnh 'unsafe-inline' vào phần script-src của CSP.
Bạn cần có các lệnh sau trong CSP để sử dụng phương pháp này:
script-src 'unsafe-inline' https://www.googletagmanager.com
img-src www.googletagmanager.com
connect-src www.googletagmanager.com
Biến JavaScript tuỳ chỉnh
Do cách triển khai Biến JavaScript tuỳ chỉnh, các biến này sẽ đánh giá thành undefined khi có CSP, trừ phi lệnh 'unsafe-eval' được cung cấp trong phần script-src của CSP.
script-src 'unsafe-eval'
Chế độ xem trước
Để sử dụng Chế độ xem trước của Trình quản lý thẻ của Google, CSP phải có các lệnh sau:
script-src https://googletagmanager.com https://tagmanager.google.com
style-src https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
Để sử dụng thẻ Google Analytics 4 (Google Analytics), CSP phải có các lệnh sau:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.googletagmanager.com
connect-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
Đối với các hoạt động triển khai Google Analytics 4 (Google Analytics) bằng tín hiệu của Google, CSP phải bao gồm các lệnh sau:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src https://td.doubleclick.net
Lượt chuyển đổi Google Ads
Để sử dụng thẻ chuyển đổi Google Ads, CSP phải có các lệnh sau:
Đối với kết nối bảo mật:
script-src https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src https://googleads.g.doubleclick.net https://www.google.com https://google.com https://pagead2.googlesyndication.com
frame-src https://www.googletagmanager.com https://td.doubleclick.net
connect-src https://pagead2.googlesyndication.com
Đối với các kết nối không an toàn:
script-src www.googleadservices.com www.google.com www.googletagmanager.com
img-src googleads.g.doubleclick.net www.google.com google.com pagead2.googlesyndication.com
connect-src pagead2.googlesyndication.com
Tái tiếp thị trên Google Ads
Để sử dụng thẻ tái tiếp thị của Google Ads, CSP phải có các lệnh sau.
Đối với kết nối bảo mật:
script-src https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src https://www.google.com https://google.com
frame-src https://td.doubleclick.net
Đối với các kết nối không an toàn:
script-src www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src www.google.com google.com
frame-src td.doubleclick.net
Beacon dữ liệu người dùng trên Google Ads
Để sử dụng beacon dữ liệu người dùng của Google Ads khi chạy trong ngữ cảnh bảo mật, CSP phải bao gồm các lệnh sau:
script-src https://www.googletagmanager.com
frame-src https://www.googletagmanager.com
Beacon dữ liệu người dùng Google Ads không chạy trong các ngữ cảnh không an toàn, vì vậy, bạn không thể áp dụng cấu hình CSP trong những trường hợp đó.
Floodlight
Người dùng Floodlight có thể bật CSP bằng các cấu hình sau. Thay thế các giá trị <FLOODLIGHT-CONFIG-ID> bằng một mã nhận dạng nhà quảng cáo Floodlight cụ thể hoặc * để cho phép mọi mã nhận dạng nhà quảng cáo:
Đối với tất cả người dùng:
img-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src https://td.doubleclick.net
Đối với báo hiệu "tập lệnh tuỳ chỉnh" trong Trình quản lý thẻ:
frame-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
Đối với thẻ hình ảnh:
img-src https://ad.doubleclick.net
Đối với chế độ đồng ý:
img-src https://ade.googlesyndication.com