Chính sách bảo mật nội dung (CSP) là một tiêu chuẩn bảo mật web được hỗ trợ rộng rãi, nhằm ngăn chặn một số loại tấn công dựa trên nội dung chèn bằng cách cho phép nhà phát triển kiểm soát các tài nguyên mà ứng dụng của họ tải. Hãy xem hướng dẫn này để tìm hiểu cách triển khai Trình quản lý thẻ của Google trên những trang web sử dụng CSP.
Bật thẻ vùng chứa để sử dụng CSP
Để sử dụng Trình quản lý thẻ của Google trên một trang có CSP, CSP phải cho phép
thực thi mã vùng chứa Trình quản lý thẻ của bạn. Mã này được tạo dưới dạng mã JavaScript cùng dòng chèn tập lệnh gtm.js. Có một số cách để thực hiện việc này, chẳng hạn như sử dụng số chỉ dùng một lần hoặc hàm băm. Phương thức đề xuất là sử dụng chỉ một lần. Giá trị này phải là một giá trị ngẫu nhiên, không thể xác định được mà máy chủ tạo riêng cho mỗi phản hồi. Cung cấp giá trị số chỉ dùng một lần trong lệnh script-src của Chính sách bảo mật nội dung:
Content-Security-Policy: script-src 'nonce-{SERVER-GENERATED-NONCE}'; img-src www.googletagmanager.com
Sau đó, sử dụng phiên bản nhận biết số chỉ dùng một lần của mã vùng chứa Trình quản lý thẻ cùng dòng. Đặt thuộc tính số chỉ dùng một lần trong phần tử tập lệnh cùng dòng thành cùng một giá trị:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
Sau đó, Trình quản lý thẻ sẽ truyền số chỉ dùng một lần vào mọi tập lệnh mà Trình quản lý thẻ thêm vào trang.
Có các phương pháp khác để cho phép thực thi tập lệnh cùng dòng, chẳng hạn như cung cấp hàm băm của tập lệnh cùng dòng trong CSP.
Nếu không thể sử dụng các phương pháp đề xuất cho số chỉ dùng một lần hoặc hàm băm, bạn có thể bật tập lệnh cùng dòng của Trình quản lý thẻ bằng cách thêm lệnh 'unsafe-inline' vào mục script-src của CSP.
CSP cần có các lệnh sau đây để sử dụng phương pháp này:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
Biến JavaScript tùy chỉnh
Do cách triển khai các biến JavaScript tuỳ chỉnh, các biến này sẽ đánh giá tới undefined khi có CSP, trừ phi lệnh 'unsafe-eval' được cung cấp trong mục script-src của CSP.
script-src: 'unsafe-eval'
Chế độ xem trước
Để sử dụng Chế độ xem trước của Trình quản lý thẻ của Google, CSP phải bao gồm các lệnh sau:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
Để sử dụng thẻ Google Analytics 4 (Google Analytics), CSP phải bao gồm các lệnh sau:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
Khi triển khai Google Analytics 4 (Google Analytics) bằng tín hiệu của Google, CSP phải bao gồm các lệnh sau:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
Universal Analytics (Google Analytics)
Để sử dụng thẻ Universal Analytics (Google Analytics), CSP phải bao gồm các lệnh sau:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
Lượt chuyển đổi Google Ads
Để sử dụng thẻ chuyển đổi Google Ads, CSP phải bao gồm các lệnh sau:
Đối với kết nối an toàn:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com
Đối với kết nối không an toàn:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
Tính năng tái tiếp thị của Google Ads
Để sử dụng thẻ tái tiếp thị của Google Ads, CSP phải bao gồm các lệnh sau.
Đối với kết nối an toàn:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
Đối với kết nối không an toàn:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
Báo hiệu dữ liệu người dùng của Google Ads
Để sử dụng beacon dữ liệu người dùng Google Ads khi chạy trong ngữ cảnh bảo mật, CSP phải bao gồm các lệnh sau:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
beacon dữ liệu người dùng quảng cáo của Google không chạy trong ngữ cảnh không an toàn, vì vậy, không thể áp dụng cấu hình CSP trong những trường hợp đó.
Floodlight
Người dùng Floodlight có thể bật CSP bằng cách sử dụng các cấu hình sau. Thay thế các giá trị <FLOODLIGHT-CONFIG-ID> bằng một mã nhận dạng nhà quảng cáo Floodlight cụ thể hoặc * để cho phép mọi mã nhận dạng nhà quảng cáo:
Dành cho tất cả người dùng:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
Đối với báo hiệu "tập lệnh tuỳ chỉnh" trong Trình quản lý thẻ:
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
Đối với thẻ hình ảnh:
img-src: https://ad.doubleclick.net
Đối với chế độ đồng ý:
img-src: https://ade.googlesyndication.com