W tym dokumencie opisujemy uprawnienia do szablonów niestandardowych po stronie serwera.
Każde uprawnienie:
- Sprawdzane przez interfejsy API, które ich wymagają.
- Automatycznie wykrywane w JavaScript w trybie piaskownicy na podstawie używanych interfejsów API. Dzieje się tak, gdy zmiany są wprowadzane w edytorze szablonów niestandardowych (aby przyspieszyć pętlę informacji zwrotnych) oraz gdy kod jest kompilowany (w celu sprawdzenia, czy egzekwowane są odpowiednie uprawnienia).
- Możesz je edytować w edytorze szablonów niestandardowych w celu sprecyzowania uprawnienia.
- Możliwość wysyłania zapytań w języku JavaScript w trybie piaskownicy przez interfejs API
queryPermission
.
access_bigquery
Wyświetlana nazwa: uzyskuje dostęp do BigQuery.
Opis: umożliwia dostęp do BigQuery w Google Cloud Platform.
Konfiguracja: opcja umożliwiająca korzystanie w BigQuery z określonych kombinacji projektów, zbiorów danych i tabel. Ustawienie identyfikatora projektu o identyfikatorze GOOGLE_CLOUD_PROJECT
umożliwi używanie zmiennej środowiskowej GOOGLE_CLOUD_PROJECT
jako identyfikatora projektu, gdy zmienna projectId
jest wykluczona z BigQuery API
parameter
.
Wymagane przez: BigQuery
Podpis zapytania:
queryPermission('access_bigquery', <operation>, <options>)
Uwagi: <operation>
to ciąg znaków i może mieć te wartości:
- zapis
<options>
to obiekt zawierający następujące elementy:
{
'projectId': <project_id>,
'datasetId': <dataset_id>,
'tableId': <table_id>
}
Przykładowy kod
const BigQuery = require('BigQuery');
const queryPermission = require('queryPermission');
const connectionInfo = {
'projectId': 'gcp-cloud-project-id',
'datasetId': 'destination-dataset',
'tableId': 'destination-table',
};
if (queryPermission('access_bigquery', 'write', connectionInfo)) {
const rows = [{
'column1': 'String1',
'column2': 1234,
}];
const options = {
'ignoreUnknownValues': true,
'skipInvalidRows': false,
};
BigQuery.insert(connectionInfo, rows, options)
.then(data.gtmOnSuccess, data.gtmOnFailure);
}
access_firestore
Wyświetlana nazwa: uzyskuje dostęp do Google Firestore.
Opis: umożliwia dostęp do Google Firestore.
Konfiguracja: opcja umożliwiająca używanie określonych kombinacji projektów i ścieżek (z użyciem składni symboli wieloznacznych) w Firestore. Ustawienie identyfikatora projektu o identyfikatorze GOOGLE_CLOUD_PROJECT
umożliwi używanie zmiennej środowiskowej GOOGLE_CLOUD_PROJECT
jako identyfikatora projektu, gdy element projectId
jest wykluczony z elementu Firestore API parameter
.
Wymagane przez: Firestore
Podpis zapytania:
queryPermission('access_firestore', <operation>, <options>)
Uwagi: <operation>
to ciąg znaków i może mieć te wartości:
- do odczytu – przyznaje dostęp do interfejsów API z możliwością odczytu i zapytań
- zapis – przyznaje uprawnienia do zapisu interfejsu API.
- read_write – przyznaje dostęp do interfejsów API do odczytu, zapisu i zapytań
<options>
to obiekt zawierający następujące elementy:
{
'projectId': <project_id>,
'path': <path>
}
Przykładowy kod
const Firestore = require('Firestore');
const queryPermission = require('queryPermission');
const options = {
'projectId': 'gcp-cloud-project-id',
'path': 'collection/document',
};
if (queryPermission('access_firestore', 'read', options)) {
Firestore.read('collection/document', {
projectId: 'gcp-cloud-project-id',
}).then(data.gtmOnSuccess, data.gtmOnFailure);
}
access_response
Wyświetlana nazwa: uzyskuje dostęp do odpowiedzi
Opis: uzyskuje dostęp do treści, nagłówków lub stanu odpowiedzi.
Konfiguracja: opcja zezwalania na dowolny lub określony dostęp oraz opcje podrzędne do kontrolowania dostępu do różnych podkomponentów.
Wymagane przez: setPixelResponse
, setResponseBody
,
setResponseHeader
, setResponseStatus
Podpis zapytania:
queryPermission('access_response', 'write', <component>[, <optional component name>])
Uwagi: określa, czy można uzyskać dostęp do komponentu wychodzącej odpowiedzi HTTP.
Przykładowy kod
const queryPermission = require('queryPermission');
const setResponseBody = require('setResponseBody');
const setResponseHeader = require('setResponseHeader');
const setResponseStatus = require('setResponseStatus');
if (queryPermission('access_response', 'write', 'header', 'Content-Type')) {
setResponseHeader('Content-Type', 'text/plain');
}
if (queryPermission('access_response', 'write', 'body')) {
setResponseBody('Not Found');
}
if (queryPermission('access_response', 'write', 'status')) {
setResponseStatus(404);
}
access_template_storage
Wyświetlana nazwa: uzyskuje dostęp do pamięci szablonów
Opis: zezwala na dostęp do tymczasowego miejsca na dane na potrzeby szablonów, które mogą istnieć przez cały okres działania procesu po stronie serwera.
Konfiguracja: brak
Wymagane przez: templateDataStorage
Podpis zapytania: queryPermission('access_template_storage')
Przykładowy kod
const queryPermission = require('queryPermission');
const templateDataStorage = require('templateDataStorage');
const key = 'my_key';
if (queryPermission('access_template_storage')) {
const value = templateDataStorage.getItemCopy(key);
}
get_cookies
Wyświetlana nazwa: odczytuje wartości plików cookie.
Opis: odczytuje wartości plików cookie o określonej nazwie.
Konfiguracja: lista nazw plików cookie, które mogą być odczytywane.
Wymagane przez: getCookieValues
Podpis zapytania: queryPermission('get_cookies', <name>)
Uwagi: określa, czy plik cookie może być odczytywany w zależności od jego nazwy.
Przykładowy kod
const queryPermission = require('queryPermission');
const getCookieValues = require('getCookieValues');
const cookieName = 'info';
let cookieValues;
if (queryPermission('get_cookies', cookieName)) {
cookieValues = getCookieValues(cookieName);
}
logowanie
Wyświetlana nazwa: umożliwia logowanie się do konsoli.
Opis: umożliwia zalogowanie się w konsoli programisty i w trybie podglądu Menedżera tagów.
Konfiguracja: opcja włączania logowania w środowisku produkcyjnym. Domyślnie logowanie jest włączone tylko w trybie debugowania/podglądu. W przypadku odmowy uprawnień logToConsole
nie zgłosi błędu, ale zablokuje komunikat logu.
Wymagane przez: logToConsole
Podpis zapytania: queryPermission('logging')
Uwagi: określa, czy szablon niestandardowy może logować się w konsoli programisty.
Przykładowy kod
const queryPermission = require('queryPermission');
const logToConsole = require('logToConsole');
// Note that it's fine to call log, since the log call will be ignored if
// logging isn't permitted in the current environment.
logToConsole('diagnostic info');
use_message
Wyświetlana nazwa: używa wiadomości.
Opis: wysyłanie lub odbieranie wiadomości za pomocą interfejsów API addMessageListener
lub sendMessage
.
Konfiguracja: opcja umożliwiająca określenie typu wiadomości oraz tego, czy szablon może nasłuchiwać, wysyłać czy wykonywać obie te czynności.
Wymagane przez: addMessageListener
, sendMessage
Podpis zapytania: queryPermission('use_message', <usage>, <message type>)
Uwaga: zastosowanie może mieć wartość listen
, send
lub listen_and_send
.
Przykładowy kod
const queryPermission = require('queryPermission');
const sendMessage = require('sendMessage');
if (queryPermission('use_message', 'send', 'set_cookie')) {
sendMessage('set_cookie', {name: 'foo', value: 'bar'});
}
read_container_data
Wyświetlana nazwa: odczytuje dane kontenera
Opis: odczytuje dane o kontenerze.
Konfiguracja: brak.
Wymagane przez: getClientName
, getContainerVersion
Podpis zapytania: queryPermission('read_container_data')
Uwagi: określa, czy szablon niestandardowy może odczytywać dane kontenera.
Przykładowy kod
const getContainerVersion = require('getContainerVersion');
const queryPermission = require('queryPermission');
if (queryPermission('read_container_data')) {
return getContainerVersion();
}
read_event_data
Wyświetlana nazwa: odczytuje dane zdarzenia.
Opis: odczytuje dane ze zdarzenia.
Konfiguracja: opcja zezwalania na dowolny dostęp lub określony dostęp kontrolowany przez listę dozwolonych ścieżek kluczy (obsługiwana składnia symboli wieloznacznych).
Wymagane przez: getAllEventData
, getEventData
Podpis zapytania: queryPermission('read_event_data'[, <optional key>])
Uwagi: określa, czy szablon niestandardowy może odczytywać dane zdarzenia na danej ścieżce klucza (lub wszystkie dane zdarzenia, jeśli nie podano ścieżki klucza).
Przykładowy kod
const getAllEventData = require('getAllEventData');
const queryPermission = require('queryPermission');
if (queryPermission('read_event_data')) {
return getAllEventData();
}
const getEventData = require('getEventData');
const queryPermission = require('queryPermission');
const keyPath = 'parentField.childField';
if (queryPermission('read_event_data', keyPath)) {
return getEventData(keyPath);
}
read_event_metadata
Wyświetlana nazwa: odczytuje metadane zdarzenia.
Opis: odczytuje metadane zdarzeń w wywołaniach zwrotnych zdarzeń.
Konfiguracja: brak
Wymagane przez: addEventCallback
Podpis zapytania: queryPermission('read_event_metadata')
Uwagi: określa, czy szablon niestandardowy może odczytywać metadane zdarzenia w wywołaniach zwrotnych.
Przykładowy kod
const queryPermission = require('queryPermission');
const addEventCallback = require('addEventCallback');
if (queryPermission('read_event_metadata')) {
addEventCallback((containerId, eventMetadata) => {
// Read event metadata.
});
}
read_request
Wyświetlana nazwa: odczytuje żądanie HTTP.
Opis: odczytuje nagłówki żądania, parametry zapytania, treść, ścieżkę lub zdalny adres IP.
Konfiguracja: opcja zezwalania na dowolny lub określony dostęp oraz opcje podrzędne do kontrolowania dostępu do różnych podkomponentów.
Wymagane przez: extractEventsFromMpv1
, extractEventsFromMpv2
,
getRemoteAddress
, getRequestBody
, getRequestHeader
,
getRequestPath
, getRequestQueryParameter
, getRequestQueryParameters
,
getRequestQueryString
Podpis zapytania:
queryPermission('read_request', <component>[, <optional component name>])
Uwagi: określa, czy można uzyskać dostęp do komponentu przychodzącej odpowiedzi HTTP.
Przykładowy kod
const queryPermission = require('queryPermission');
const getRequestBody = require('getRequestBody');
const getRequestHeader = require('getRequestHeader');
let body, contentType;
if (queryPermission('read_request', 'body')) {
body = getRequestBody();
}
if (queryPermission('read_request', 'header', 'content-type')) {
contentType = getRequestHeader('content-type');
}
if (body && contentType == 'application/json') { ... }
return_response
Display name (Nazwa wyświetlana): zwraca odpowiedź.
Opis: zwraca odpowiedź wywołującego.
Konfiguracja: brak
Wymagane przez: returnResponse
Podpis zapytania: queryPermission('return_response')
Uwaga: to uprawnienie nie ma pól do zawężenia i zwykle nie jest wyszukiwane.
run_container
Wyświetlana nazwa: uruchamia kontener.
Opis: uruchamia kontener ze zdarzeniem.
Konfiguracja: brak
Wymagane przez: runContainer
Podpis zapytania: queryPermission('run_container')
Uwaga: to uprawnienie nie ma pól do zawężenia i zwykle nie jest wyszukiwane.
send_http
Wyświetlana nazwa: wysyła żądania HTTP.
Opis: wysyła żądanie HTTP na określony adres URL.
Wymagane przez: getGoogleScript
, sendEventToGoogleAnalytics
,
sendHttpGet
, sendHttpRequest
Podpis zapytania: queryPermission('send_http', <url>)
Uwagi: określa, czy może być wysyłane żądanie HTTP w zależności od adresu URL. Aby zapewnić bezpieczne połączenie, dozwolone są tylko bezpieczne adresy URL (HTTPS).
Przykładowy kod
const queryPermission = require('queryPermission');
const sendHttpGet = require('sendHttpGet');
const url = 'https://example.com/search?query=foo&results=10';
if (queryPermission('send_http', url)) {
sendHttpGet(url);
}
send_pixel_from_browser
Wyświetlana nazwa: wysyła piksele z przeglądarek.
Opis: wysyła z przeglądarki żądanie GET pod określony adres URL.
Wymagane przez: sendPixelFromBrowser
Podpis zapytania: queryPermission('send_pixel_from_browser', <url>)
Uwagi: określa, czy żądanie może być wysyłane z przeglądarki w zależności od adresu URL.
Przykładowy kod
const queryPermission = require('queryPermission');
const sendPixelFromBrowser = require('sendPixelFromBrowser');
const url = 'https://example.com/search?query=foo&results=10';
if (queryPermission('send_pixel_from_browser', url)) {
sendPixelFromBrowser(url);
}
set_cookies
Wyświetlana nazwa: ustawia plik cookie.
Opis: ustawia plik cookie o określonej nazwie i parametrach.
Konfiguracja: tabela dozwolonych nazw plików cookie z opcjonalnymi ograniczeniami dotyczącymi nazwy, domeny, ścieżki, atrybutu secure
i okresu ważności.
Wymagane przez: setCookie
Podpis zapytania: queryPermission('set_cookies', <name>, <options>)
Uwagi: określa, czy do odpowiedzi można dodać nagłówek „Set-Cookie” w zależności od nazwy pliku cookie, domeny, ścieżki, atrybutu secure
i daty ważności.
Przykładowy kod
const queryPermission = require('queryPermission');
const setCookie = require('setCookie');
const options = {
'domain': 'www.example.com',
'path': '/',
'max-age': 60*60*24*365,
'secure': true
};
if (queryPermission('set_cookies', 'info', options)) {
setCookie('info', 'xyz', options);
}
use_custom_private_keys
Wyświetlana nazwa: używa niestandardowych kluczy prywatnych
Opis: wykorzystuje klucze prywatne z pliku kluczy JSON na potrzeby operacji kryptograficznych.
Konfiguracja: lista dozwolonych identyfikatorów kluczy. Identyfikatory muszą być zgodne z kluczami w pliku kluczy JSON, do którego odwołuje się zmienna środowiskowa SGTM_CREDENTIALS
na serwerze.
Wymagane przez: hmacSha256
Podpis zapytania: queryPermission('use_custom_private_keys', <key id>)
Uwagi: zarządza listą dozwolonych kluczy prywatnych.
Przykładowy kod
const hmacSha256= require('hmacSha256');
const queryPermission = require('queryPermission');
const keyId = 'key1';
let result;
if (queryPermission('use_custom_private_keys', keyId)) {
result = hmacSha256('my_data', keyId);
}
use_google_credentials
Wyświetlana nazwa: używa domyślnych danych logowania aplikacji Google.
Opis: używa domyślnych danych logowania Google do wywoływania interfejsów API Google.
Konfiguracja: lista dozwolonych zakresów protokołu Google OAuth 2.0.
Wymagane przez: getGoogleAuth
Podpis zapytania: queryPermission('use_google_credentials', <scopes>)
Uwagi: ogranicza dozwolone zakresy protokołu Google OAuth 2.0 do użytku z interfejsami API Google.
Przykładowy kod
const getGoogleAuth = require('getGoogleAuth');
const queryPermission = require('queryPermission');
const scopes = [
'https://www.googleapis.com/auth/datastore'
];
let auth;
if (queryPermission('use_google_credentials', scopes)) {
auth = getGoogleAuth(scopes);
}