سياسة أمان المحتوى (CSP) هي معيار أمان مقبَّل على نطاق واسع على الويب يهدف إلى منع أنواع معيّنة من الهجمات المستندة إلى الحقن، وذلك من خلال منح المطوّرين إمكانية التحكّم في الموارد التي تحمّلها تطبيقاتهم. يمكنك استخدام هذا الدليل لفهم كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي تستخدم سياسة CSP.
تفعيل علامة الحاوية لاستخدام سياسة CSP
لاستخدام أداة "إدارة العلامات من Google" على صفحة تتضمّن سياسة أمان محتوى (CSP)، يجب أن يسمح CSP بتنفيذ رمز حاوية أداة "إدارة العلامات من Google". تم إنشاء هذا الرمز البرمجي كتعليمة برمجية مضمّنة
باستخدام JavaScript تُدخل نص gtm.js البرمجي. تتوفّر عدة طرق لتنفيذ
هذا، مثل استخدام مفتاح عشوائي أو تجزئة. الطريقة المقترَحة هي استخدام مفتاح تشفير عشوائي، والذي يجب أن يكون قيمة عشوائية لا يمكن توقّعها ينشئها الخادم بشكلٍ فردي لكلّ استجابة. أدخِل القيمة nonce في التوجيه script-src لسياسة أمان المحتوى:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
بعد ذلك، استخدِم الإصدار المتوافق مع الرمز المؤقت للحاوية في "إدارة العلامات من Google". اضبط السمة nonce في عنصر النص البرمجي المضمّن على القيمة نفسها:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
بعد ذلك، ستنشر أداة "إدارة العلامات من Google" مفتاح المرور المؤقت إلى أي نصوص برمجية تضيفها إلى الصفحة.
هناك طرق أخرى لتفعيل تنفيذ نص برمجي مضمّن، مثل تقديم التجزئة للنص البرمجي المضمّن في إطار عمل CSP.
إذا لم تكن نهجَي nonce أو التجزئة المقترَحين متاحَين، من الممكن
تفعيل النص البرمجي المضمّن في أداة "إدارة العلامات من Google" من خلال إضافة التوجيه 'unsafe-inline'
إلى قسم script-src في إطار عمل خدمة حماية المحتوى (CSP).
يجب استخدام التوجيهات التالية في CSP لاستخدام هذا النهج:
script-src 'unsafe-inline' https://www.googletagmanager.com
img-src www.googletagmanager.com
connect-src www.googletagmanager.com
متغيّرات JavaScript المخصّصة
بسبب طريقة تنفيذ متغيّرات JavaScript المخصّصة، سيتم تقييمها
على أنّها undefined في حال توفّر سياسة خدمة المحتوى ما لم يتم تقديم التوجيه 'unsafe-eval'
في قسم script-src من سياسة خدمة المحتوى.
script-src 'unsafe-eval'
وضع المعاينة
لاستخدام وضع المعاينة في "إدارة العلامات من Google"، يجب أن يتضمّن CSP الأوامر التالية:
script-src https://googletagmanager.com https://tagmanager.google.com
style-src https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src https://fonts.gstatic.com data:
إحصاءات Google 4 ("إحصاءات Google")
لاستخدام علامة "إحصاءات Google 4" (إحصاءات Google)، يجب أن تتضمّن خدمة مقارنة الأسعار (CSP) التوجيهات التالية:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.googletagmanager.com
connect-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
بالنسبة إلى عمليات نشر "إحصاءات Google 4" (أو "إحصاءات Google") باستخدام "إشارات Google"، يجب أن يتضمّن ملف ملف تكوين علامة الشركاء ( CSP) التعليمات التالية:
script-src https://*.googletagmanager.com
img-src https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src https://td.doubleclick.net
الإحالات الناجحة في "إعلانات Google"
لاستخدام علامة إحالة ناجحة في "إعلانات Google"، يجب أن يتضمّن ملفّ CSP التوجيهات التالية:
بالنسبة إلى الاتصالات الآمنة:
script-src https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src https://googleads.g.doubleclick.net https://www.google.com https://google.com https://pagead2.googlesyndication.com
frame-src https://www.googletagmanager.com https://td.doubleclick.net
connect-src https://pagead2.googlesyndication.com
بالنسبة إلى الاتصالات غير الآمنة:
script-src www.googleadservices.com www.google.com www.googletagmanager.com
img-src googleads.g.doubleclick.net www.google.com google.com pagead2.googlesyndication.com
connect-src pagead2.googlesyndication.com
تجديد النشاط التسويقي في "إعلانات Google"
لاستخدام علامة تجديد النشاط التسويقي في "إعلانات Google"، يجب أن تتضمّن سياسة أمان المحتوى (CSP) التوجيهات التالية:
للاتصالات الآمنة:
script-src https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src https://www.google.com https://google.com
frame-src https://td.doubleclick.net
بالنسبة إلى الاتصالات غير الآمنة:
script-src www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src www.google.com google.com
frame-src td.doubleclick.net
إشارة بيانات المستخدِم في "إعلانات Google"
لاستخدام إشارات بيانات المستخدِمين في "إعلانات Google" عند عرضها في سياقات آمنة، يجب أن تتضمّن سياسة أمان المحتوى (CSP) التوجيهات التالية:
script-src https://www.googletagmanager.com
frame-src https://www.googletagmanager.com
لا يعمل إشارة بيانات مستخدم "إعلانات Google" في سياقات غير آمنة، لذا لا يمكن ضبط ضبط سياسة أمان المحتوى (CSP) في هذه الحالات.
Floodlight
يمكن لمستخدمي Floodlight تفعيل خدمات إدارة المحتوى (CSP) باستخدام الإعدادات التالية. استبدِل قيم
<FLOODLIGHT-CONFIG-ID> إما بمعرّف معلِن محدّد
في Floodlight، أو * للسماح بأيّ معرّف معلِن:
خطوات لجميع المستخدمين:
img-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src https://td.doubleclick.net
بالنسبة إلى إشارات "النصوص البرمجية المخصّصة" في أداة "إدارة العلامات من Google":
frame-src https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
بالنسبة إلى علامات الصور:
img-src https://ad.doubleclick.net
بالنسبة إلى وضع الموافقة:
img-src https://ade.googlesyndication.com