Usar o Gerenciador de tags do Google com uma política de segurança de conteúdo

A política de segurança de conteúdo (CSP, sigla e conteúdo em inglês) é um padrão de segurança da Web com ampla compatibilidade. Ela disponibiliza um método padrão para a declaração de origens de conteúdo permitidas com o objetivo de evitar determinados tipos de ataque com base em injeção. Se você usa uma CSP, veja neste guia como configurar o Gerenciador de tags do Google para que ele funcione com sua implementação.

Para usar o Gerenciador de tags em uma página com uma política de segurança de conteúdo, a CSP precisa permitir a execução do snippet dessa solução, um JavaScript in-line que injeta o script gtm.js. Para isso, é preciso adicionar 'unsafe-inline' à seção script-src da CSP.

No caso de páginas seguras, ative o Gerenciador de tags por meio das seguintes diretrizes:

script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: https://www.googletagmanager.com

No caso de páginas não seguras, use a opção abaixo:

script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: http://www.googletagmanager.com

Variáveis JavaScript personalizadas

Para usar variáveis JavaScript personalizadas no Gerenciador de tags em uma página com a CSP, é preciso adicionar a diretiva 'unsafe-eval' à seção script-src da CSP. Essa ação é necessária devido ao modo como essas variáveis são implementadas. A menos que isso seja feito, todas elas serão consideradas indefinidas.

script-src: 'unsafe-eval'

Modo de visualização

Para usar o modo de visualização do Gerenciador de tags do Google, a CSP precisa incluir estas diretrizes:

script-src: https://tagmanager.google.com
style-src: https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:

Universal Analytics (Google Analytics)

Para usar a tag do Universal Analytics (Google Analytics), a CSP precisa incluir estas diretrizes:

script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com

Google Optimize

Para usar uma tag do Google Optimize, a CSP precisa incluir estas diretrizes:

script-src: https://www.google-analytics.com

Para usar uma tag de conversão do Google Ads, a CSP precisa incluir estas diretrizes:

No caso de conexões seguras:

script-src: https://www.googleadservices.com
img-src: https://googleads.g.doubleclick.net https://www.google.com

No caso de conexões não seguras:

script-src: http://www.googleadservices.com
img-src: https://googleads.g.doubleclick.net https://www.google.com

Para usar uma tag de remarketing do Google Ads, a CSP precisa incluir estas diretrizes:

No caso de conexões não seguras:

script-src: http://www.googleadservices.com https://googleads.g.doubleclick.net
img-src: https://www.google.com
frame-src: https://bid.g.doubleclick.net

No caso de conexões seguras:

script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net
img-src: https://www.google.com
frame-src: https://bid.g.doubleclick.net