Utilizzare Tag Manager con un criterio di sicurezza del contenuto

Il Criterio di sicurezza del contenuto (CSP) è uno standard di sicurezza web ampiamente supportato progettato per impedire determinati tipi di attacchi basati su attacco di iniezione offrendo agli sviluppatori il controllo sulle risorse caricate dalle loro applicazioni. Consulta questa guida per scoprire come implementare Google Tag Manager sui siti che utilizzano un CSP.

Consenti al tag contenitore di utilizzare il CSP

Per utilizzare Google Tag Manager in una pagina con un CSP, il CSP deve consentire l'esecuzione del codice del contenitore di Tag Manager. Questo codice viene creato come codice JavaScript in linea che inietta lo script gtm.js. Esistono diversi modi per farlo, ad esempio l'utilizzo di un nonce o di un hash. Il metodo consigliato è utilizzare un nonce, che deve essere un valore casuale e non deducibile generato individualmente dal server per ogni risposta. Fornisci il valore nonce nell'istruzione script-src dei Criteri di sicurezza del contenuto:

Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com

Utilizza quindi la versione con conoscenza del nonce del codice del contenitore Tag Manager in linea. Imposta l'attributo nonce sull'elemento script in linea sullo stesso valore:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

Tag Manager propagherà quindi il nonce a tutti gli script che aggiunge alla pagina.

Esistono altri approcci per abilitare l'esecuzione di uno script in linea, ad esempio fornire l'hash dello script in linea nel CSP.

Se gli approcci consigliati con nonce o hash non sono possibili, è possibile attivare lo script in linea di Tag Manager aggiungendo la direttiva 'unsafe-inline' alla sezione script-src del CSP.

Per utilizzare questo approccio, nel CSP sono necessarie le seguenti direttive:

Variabili JavaScript personalizzate

A causa del modo in cui vengono implementate le variabili JavaScript personalizzate, il loro valore sarà undefined in presenza di un CSP, a meno che non venga specificata l'istruzione 'unsafe-eval' nella sezione script-src del CSP.

Modalità di anteprima

Per utilizzare la modalità di anteprima di Google Tag Manager, il CSP deve includere le seguenti direttive:

Google Analytics 4 (Google Analytics)

Per utilizzare il tag Google Analytics 4 (Google Analytics), il CSP deve includere le seguenti direttive:

Per le implementazioni di Google Analytics 4 (Google Analytics) che utilizzano Google Signals, il CSP deve includere le seguenti direttive:

Google Ads

Per utilizzare un tag di conversione, di remarketing o Linker conversioni di Google Ads, il CSP deve includere le seguenti direttive:

Beacon dei dati utente di Google Ads

Per utilizzare i beacon dei dati utente di Google Ads quando vengono eseguiti in contesti sicuri, il CSP deve includere le seguenti direttive:

Il beacon dei dati utente di Google Ads non viene eseguito in contesti non sicuri, pertanto la configurazione del CSP in questi casi non è applicabile.

Floodlight

Gli utenti di Floodlight possono attivare i fornitori di servizi cloud utilizzando le seguenti configurazioni. Sostituisci i valori <FLOODLIGHT-CONFIG-ID> con un ID inserzionista Floodlight specifico o con * per consentire qualsiasi ID inserzionista:

Per tutti gli utenti:

Per i beacon "script personalizzati":

Per i tag immagine:

Service worker

Per utilizzare il Service Worker per la corrispondenza avanzata, i beacon di dati utente e le conversioni di Google Ads, il CSP deve includere le seguenti direttive: