استخدام أداة "إدارة العلامات من Google" مع سياسة أمان المحتوى

سياسة أمان المحتوى (CSP) هي معيار أمان مقبَّل على نطاق واسع على الويب يهدف إلى منع أنواع معيّنة من الهجمات المستندة إلى الحقن، وذلك من خلال منح المطوّرين إمكانية التحكّم في الموارد التي تحمّلها تطبيقاتهم. استخدِم هذا الدليل للتعرّف على كيفية نشر أداة "إدارة العلامات من Google" على المواقع الإلكترونية التي تستخدِم منصّة إدارة الخدمات (CSP).

تفعيل علامة الحاوية لاستخدام سياسة "التشفير من جهة العميل"

لاستخدام أداة "إدارة العلامات من Google" على صفحة تتضمّن سياسة خدمة حماية المحتوى (CSP)، يجب أن تسمح سياسة CSP بتنفيذ رمز حاوية أداة "إدارة العلامات من Google". تم إنشاء هذا الرمز البرمجي كتعليمة برمجية مضمّنة باستخدام JavaScript تُدخل نص gtm.js البرمجي. تتوفّر عدة طرق لتنفيذ هذا، مثل استخدام مفتاح عشوائي أو تجزئة. الطريقة المقترَحة هي استخدام مفتاح تشفير عشوائي، والذي يجب أن يكون قيمة عشوائية لا يمكن توقّعها ينشئها الخادم بشكلٍ فردي لكلّ استجابة. أدخِل قيمة nonce في التوجيه script-src في Content-Security- Policy:

Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com

بعد ذلك، استخدِم الإصدار المتوافق مع الرمز المميّز لمرة واحدة من رمز حاوية "إدارة العلامات من Google" المضمّن. اضبط سمة nonce في عنصر النص البرمجي المضمّن على هذه القيمة نفسها:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

ستنشر أداة "إدارة العلامات من Google" بعد ذلك الرمز المؤقت إلى أي نصوص برمجية تضيفها إلى الصفحة.

هناك طرق أخرى لتفعيل تنفيذ نص برمجي مضمّن، مثل تقديم التجزئة للنص البرمجي المضمّن في إطار عمل CSP.

إذا لم تكن نهجَي nonce أو التجزئة المقترَحين متاحَين، من الممكن تفعيل النص البرمجي المضمّن في أداة "إدارة العلامات من Google" من خلال إضافة التوجيه 'unsafe-inline' إلى قسم script-src في إطار عمل خدمة حماية المحتوى (CSP).

يجب استخدام التوجيهات التالية في CSP لاستخدام هذا النهج:

متغيّرات JavaScript المخصّصة

بسبب طريقة تنفيذ متغيّرات JavaScript المخصّصة، ستُقيّم قيمتها على أنّها undefined في حال توفّر سياسة خدمة حماية المحتوى ما لم يتم تقديم توجيه 'unsafe-eval' في قسم script-src من سياسة خدمة حماية المحتوى.

وضع المعاينة

لاستخدام وضع المعاينة في أداة "إدارة العلامات من Google"، يجب أن يتضمّن إطار عمل إدارة الخدمات في الموقع الإلكتروني التوجيهات التالية:

"إحصاءات Google‏ 4" (إحصاءات Google)

لاستخدام علامة "إحصاءات Google‏ 4" (إحصاءات Google)، يجب أن تتضمّن خدمة مقارنة الأسعار (CSP) التوجيهات التالية:

بالنسبة إلى عمليات نشر "إحصاءات Google‏ 4" (أو "إحصاءات Google") باستخدام "إشارات Google"، يجب أن يتضمّن ملف ملف تكوين علامة الشركاء ( CSP) التعليمات التالية:

إعلانات Google

لاستخدام علامة الإحالة الناجحة أو علامة تجديد النشاط التسويقي أو علامة ربط الإحالة الناجحة من "إعلانات Google"، يجب أن يتضمّن ملف CSP التوجيهات التالية:

إشارة بيانات المستخدِم في "إعلانات Google"

لاستخدام إشارات بيانات المستخدِمين في "إعلانات Google" عند عرضها في سياقات آمنة، يجب أن تتضمّن سياسة أمان المحتوى (CSP) التوجيهات التالية:

لا يتم تشغيل إشارة بيانات المستخدِمين في إعلانات Google في السياقات غير الآمنة، لذا لا يمكن تطبيق إعدادات CSP في هذه الحالات.

Floodlight

يمكن لمستخدمي Floodlight تفعيل خدمات إدارة الخدمات (CSP) باستخدام الإعدادات التالية. استبدِل قيم <FLOODLIGHT-CONFIG-ID> إما بمعرّف معلِن محدّد في Floodlight، أو * للسماح بأيّ معرّف معلِن:

خطوات لجميع المستخدمين:

بالنسبة إلى إشارات "النصوص البرمجية المخصّصة":

بالنسبة إلى علامات الصور:

مشغّل الخدمات

لاستخدام Service Worker للمطابقة المحسّنة وبيانات المستخدمين وإشارة الإحالات الناجحة في "إعلانات Google"، يجب أن يتضمّن ملف CSP التعليمات التالية: