কনটেন্ট সিকিউরিটি পলিসি (CSP) হল একটি ব্যাপকভাবে সমর্থিত ওয়েব সিকিউরিটি স্ট্যান্ডার্ড যা ডেভেলপারদের তাদের অ্যাপ্লিকেশন দ্বারা লোড করা সংস্থানগুলির উপর নিয়ন্ত্রণ প্রদান করে নির্দিষ্ট ধরণের ইনজেকশন-ভিত্তিক আক্রমণ প্রতিরোধ করার উদ্দেশ্যে। একটি CSP ব্যবহার করে এমন সাইটগুলিতে কীভাবে Google ট্যাগ ম্যানেজার স্থাপন করবেন তা বোঝার জন্য এই নির্দেশিকাটি ব্যবহার করুন৷
CSP ব্যবহার করতে কন্টেইনার ট্যাগ সক্রিয় করুন
একটি CSP সহ একটি পৃষ্ঠায় Google ট্যাগ ম্যানেজার ব্যবহার করতে, CSP-কে আপনার ট্যাগ ম্যানেজার কন্টেইনার কোড কার্যকর করার অনুমতি দিতে হবে। এই কোডটি ইনলাইন জাভাস্ক্রিপ্ট কোড হিসাবে তৈরি করা হয়েছে যা gtm.js স্ক্রিপ্টকে ইনজেক্ট করে। এটি করার বিভিন্ন উপায় রয়েছে, যেমন ননস বা হ্যাশ ব্যবহার করা। প্রস্তাবিত পদ্ধতি হল একটি nonce ব্যবহার করা, যা একটি অনুমানযোগ্য, এলোমেলো মান হওয়া উচিত যা সার্ভার প্রতিটি প্রতিক্রিয়ার জন্য পৃথকভাবে তৈরি করে। বিষয়বস্তু-নিরাপত্তা-নীতি script-src নির্দেশে ননস মান সরবরাহ করুন:
Content-Security-Policy: script-src 'nonce-{SERVER-GENERATED-NONCE}'; img-src www.googletagmanager.com
তারপর ইনলাইন ট্যাগ ম্যানেজার কন্টেইনার কোডের অজ্ঞাত সংস্করণ ব্যবহার করুন। ইনলাইন স্ক্রিপ্ট উপাদানটিতে ননস অ্যাট্রিবিউটটিকে একই মানটিতে সেট করুন:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
ট্যাগ ম্যানেজার তারপর পৃষ্ঠায় যোগ করে এমন কোনো স্ক্রিপ্টে ননস প্রচার করবে।
ইনলাইন স্ক্রিপ্ট কার্যকর করার অন্যান্য পদ্ধতি রয়েছে, যেমন CSP-তে ইনলাইন স্ক্রিপ্টের হ্যাশ সরবরাহ করা।
যদি প্রস্তাবিত ননস বা হ্যাশ পদ্ধতিগুলি সম্ভব না হয়, তাহলে CSP-এর script-src বিভাগে 'unsafe-inline' নির্দেশিকা যোগ করে ট্যাগ ম্যানেজার ইনলাইন স্ক্রিপ্ট সক্রিয় করা সম্ভব।
এই পদ্ধতি ব্যবহার করার জন্য CSP-তে নিম্নলিখিত নির্দেশাবলী প্রয়োজন:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবল
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবলগুলি কীভাবে প্রয়োগ করা হয় তার কারণে, সিএসপি-র script-src বিভাগে 'unsafe-eval' নির্দেশনা দেওয়া না থাকলে তারা সিএসপির উপস্থিতিতে undefined হিসাবে মূল্যায়ন করবে।
script-src: 'unsafe-eval'
প্রাকদর্শন মোড
Google ট্যাগ ম্যানেজারের পূর্বরূপ মোড ব্যবহার করার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
গুগল অ্যানালিটিক্স 4 (গুগল অ্যানালিটিক্স) ট্যাগ ব্যবহার করার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
গুগল সিগন্যাল ব্যবহার করে গুগল অ্যানালিটিক্স 4 (গুগল অ্যানালিটিক্স) স্থাপনার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
ইউনিভার্সাল অ্যানালিটিক্স (গুগল অ্যানালিটিক্স)
ইউনিভার্সাল অ্যানালিটিক্স (গুগল অ্যানালিটিক্স) ট্যাগ ব্যবহার করার জন্য, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
Google বিজ্ঞাপন রূপান্তর
একটি Google বিজ্ঞাপন রূপান্তর ট্যাগ ব্যবহার করতে, CSP-তে নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
নিরাপদ সংযোগের জন্য:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com
অ-সুরক্ষিত সংযোগের জন্য:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
গুগল বিজ্ঞাপন পুনরায় বিপণন
একটি Google Ads রিমার্কেটিং ট্যাগ ব্যবহার করতে, CSP-কে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে।
নিরাপদ সংযোগের জন্য:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
অ-সুরক্ষিত সংযোগের জন্য:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
Google বিজ্ঞাপন ব্যবহারকারী ডেটা বীকন
নিরাপদ প্রেক্ষাপটে চলার সময় Google Ads ব্যবহারকারীর ডেটা বীকন ব্যবহার করতে, CSP-কে নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
Google বিজ্ঞাপন ব্যবহারকারীর ডেটা বীকন অনিরাপদ প্রসঙ্গে চলে না, তাই এই ক্ষেত্রে CSP কনফিগারেশন প্রযোজ্য নয়।
ফ্লাডলাইট
ফ্লাডলাইট ব্যবহারকারীরা নিম্নলিখিত কনফিগারেশনগুলি ব্যবহার করে CSP সক্ষম করতে পারেন৷ <FLOODLIGHT-CONFIG-ID> মানগুলিকে একটি নির্দিষ্ট ফ্লাডলাইট বিজ্ঞাপনদাতা আইডি দিয়ে প্রতিস্থাপন করুন, অথবা * যেকোনো বিজ্ঞাপনদাতা আইডিকে অনুমতি দিতে:
সকল ব্যবহারকারীর জন্য:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
ট্যাগ ম্যানেজারে "কাস্টম স্ক্রিপ্ট" বীকনের জন্য:
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
ইমেজ ট্যাগের জন্য:
img-src: https://ad.doubleclick.net
সম্মতি মোডের জন্য:
img-src: https://ade.googlesyndication.com