কন্টেন্ট সিকিউরিটি পলিসি (সিএসপি) একটি বহুল সমর্থিত ওয়েব নিরাপত্তা মান, যা ডেভেলপারদের তাদের অ্যাপ্লিকেশন দ্বারা লোড করা রিসোর্সগুলোর উপর নিয়ন্ত্রণ দিয়ে নির্দিষ্ট ধরণের ইনজেকশন-ভিত্তিক আক্রমণ প্রতিরোধ করার উদ্দেশ্যে তৈরি। সিএসপি ব্যবহারকারী সাইটগুলিতে কীভাবে গুগল ট্যাগ ম্যানেজার স্থাপন করতে হয়, তা বুঝতে এই নির্দেশিকাটি ব্যবহার করুন।
কন্টেইনার ট্যাগটি CSP ব্যবহার করার জন্য সক্রিয় করুন।
CSP সহ কোনো পেজে গুগল ট্যাগ ম্যানেজার ব্যবহার করতে হলে, CSP-টিকে অবশ্যই আপনার ট্যাগ ম্যানেজার কন্টেইনার কোড চালানোর অনুমতি দিতে হবে। এই কোডটি ইনলাইন জাভাস্ক্রিপ্ট কোড হিসেবে তৈরি করা হয় যা gtm.js স্ক্রিপ্টটি ইনজেক্ট করে। এটি করার বিভিন্ন উপায় আছে, যেমন ননস (nonce) বা হ্যাশ (hash) ব্যবহার করা। প্রস্তাবিত পদ্ধতি হলো ননস ব্যবহার করা, যা একটি অনুমান-অযোগ্য, র্যান্ডম ভ্যালু হওয়া উচিত এবং সার্ভার প্রতিটি রেসপন্সের জন্য আলাদাভাবে এটি তৈরি করে। Content-Security-Policy script-src ডিরেক্টিভে ননস ভ্যালুটি সরবরাহ করুন:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com www.google.com
এরপর ইনলাইন ট্যাগ ম্যানেজার কন্টেইনার কোডের ননস-অ্যাওয়ার সংস্করণটি ব্যবহার করুন। ইনলাইন স্ক্রিপ্ট এলিমেন্টের ননস অ্যাট্রিবিউটটিকে এই একই মানে সেট করুন:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
এরপর ট্যাগ ম্যানেজার পেজে যোগ করা যেকোনো স্ক্রিপ্টে ননসটি ছড়িয়ে দেবে।
ইনলাইন স্ক্রিপ্ট চালানো সক্ষম করার জন্য আরও কিছু পদ্ধতি রয়েছে, যেমন CSP-তে ইনলাইন স্ক্রিপ্টটির হ্যাশ সরবরাহ করা।
যদি প্রস্তাবিত ননস (nonce) বা হ্যাশ (hash) পদ্ধতিগুলো ব্যবহারযোগ্য না হয়, তবে CSP-এর script-src সেকশনে 'unsafe-inline' ডিরেক্টিভটি যোগ করে ট্যাগ ম্যানেজার ইনলাইন স্ক্রিপ্টটি সক্রিয় করা যেতে পারে।
এই পদ্ধতিটি ব্যবহার করার জন্য CSP-তে নিম্নলিখিত নির্দেশাবলী প্রয়োজন:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | 'unsafe-inline' https://www.googletagmanager.com |
| img-src | www.googletagmanager.com |
| সংযোগ-উৎস | www.googletagmanager.com www.google.com |
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবল
কাস্টম জাভাস্ক্রিপ্ট ভেরিয়েবল যেভাবে প্রয়োগ করা হয়, তার কারণে কোনো CSP-এর উপস্থিতিতে সেগুলোর undefined 'unsafe-eval' হিসেবে গণ্য হবে, যদি না CSP-এর script-src অংশে 'unsafe-eval' নির্দেশিকাটি দেওয়া থাকে।
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | 'অনিরাপদ-ইভ্যাল' |
প্রিভিউ মোড
গুগল ট্যাগ ম্যানেজারের প্রিভিউ মোড ব্যবহার করার জন্য, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত থাকতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | https://googletagmanager.com https://tagmanager.google.com |
| স্টাইল-সোর্স | https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com |
| img-src | https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com |
| ফন্ট-সোর্স | https://fonts.gstatic.com ডেটা: |
গুগল অ্যানালিটিক্স ৪ (গুগল অ্যানালিটিক্স)
Google Analytics 4 (Google Analytics) ট্যাগ ব্যবহার করার জন্য, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | https://*.googletagmanager.com |
| img-src | https://*.google-analytics.com https://*.googletagmanager.com |
| সংযোগ-উৎস | https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com |
Google Signals ব্যবহার করে Google Analytics 4 (Google Analytics) স্থাপনের ক্ষেত্রে, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত থাকতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | https://*.googletagmanager.com |
| img-src | https://*.google-analytics.com https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD> |
| সংযোগ-উৎস | https://*.google-analytics.com https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD> https://pagead2.googlesyndication.com |
| ফ্রেম-সোর্স | https://www.googletagmanager.com |
গুগল বিজ্ঞাপন
Google Ads Conversion, Remarketing, বা Conversion Linker ট্যাগ ব্যবহার করতে হলে, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত থাকতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net |
| img-src | https://www.googletagmanager.com https://googleads.g.doubleclick.net https://www.google.com https://pagead2.googlesyndication.com https://www.googleadservices.com https://google.com https://www.google.<TLD> |
| ফ্রেম-সোর্স | https://www.googletagmanager.com |
| সংযোগ-উৎস | https://pagead2.googlesyndication.com https://www.googleadservices.com https://googleads.g.doubleclick.net https://ad.doubleclick.net https://www.google.com https://google.com https://www.google.<TLD> |
গুগল অ্যাডস ব্যবহারকারীর ডেটা বীকন
সুরক্ষিত প্রেক্ষাপটে চালানোর সময় গুগল অ্যাডস ব্যবহারকারীর ডেটা বীকন ব্যবহার করতে হলে, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত করতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| স্ক্রিপ্ট-সোর্স | https://www.googletagmanager.com |
| ফ্রেম-সোর্স | https://www.googletagmanager.com |
| সংযোগ-উৎস | https://google.com https://www.google.com |
গুগল অ্যাডস ইউজার ডেটা বীকন অসুরক্ষিত প্রেক্ষাপটে চলে না, তাই সেইসব ক্ষেত্রে CSP কনফিগারেশন প্রযোজ্য নয়।
ফ্লাডলাইট
ফ্ল্যাডলাইট ব্যবহারকারীরা নিম্নলিখিত কনফিগারেশনগুলি ব্যবহার করে CSP সক্রিয় করতে পারেন। <FLOODLIGHT-CONFIG-ID> মানগুলিকে একটি নির্দিষ্ট ফ্ল্যাডলাইট অ্যাডভারটাইজার আইডি দিয়ে, অথবা যেকোনো অ্যাডভারটাইজার আইডি অনুমোদনের জন্য * দিয়ে প্রতিস্থাপন করুন:
সকল ব্যবহারকারীর জন্য:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| img-src | https://ad.doubleclick.net https://ade.googlesyndication.com https://adservice.google.com https://www.googletagmanager.com |
| ফ্রেম-সোর্স | https://www.googletagmanager.com |
| সংযোগ-উৎস | https://pagead2.googlesyndication.com https://www.google.com https://www.googleadservices.com https://ad.doubleclick.net |
'কাস্টম স্ক্রিপ্ট' বীকনগুলির জন্য:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| ফ্রেম-সোর্স | https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net |
ছবির ট্যাগগুলির জন্য:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| img-src | https://ad.doubleclick.net https://ade.googlesyndication.com |
পরিষেবা কর্মী
এনহ্যান্সড ম্যাচ, ইউজার ডেটা বিকন এবং অ্যাডস কনভার্সনের জন্য সার্ভিস ওয়ার্কার ব্যবহার করতে হলে, CSP-তে অবশ্যই নিম্নলিখিত নির্দেশাবলী অন্তর্ভুক্ত থাকতে হবে:
| নির্দেশিকা | বিষয়বস্তু |
|---|---|
| ফ্রেম-সোর্স | https://www.googletagmanager.com |
ট্যাগ অ্যাসিস্ট্যান্টের সাহায্যে সমস্যা সমাধান করুন
কন্টেন্ট সিকিউরিটি পলিসি (CSP) সংক্রান্ত সমস্যা সমাধান করতে ট্যাগ অ্যাসিস্ট্যান্ট ব্যবহার করুন। ট্যাগ অ্যাসিস্ট্যান্ট আপনার কন্টেন্ট সিকিউরিটি পলিসি দ্বারা ব্লক করা রিসোর্সগুলির তালিকা প্রদর্শন করবে।
ট্যাগ অ্যাসিস্ট্যান্ট খুলুন এবং আপনার ওয়েবসাইটের ইউআরএল (URL) লিখুন। আপনার ওয়েবসাইটসহ একটি নতুন ট্যাব খুলে যাবে।
আপনার পেজের কন্টেন্ট সিকিউরিটি পলিসি (Content Security Policy) যদি কোনো রিসোর্সকে ব্লক করে, তাহলে ট্যাগ অ্যাসিস্ট্যান্টের (Tag Assistant) পেজ ইস্যু (Page issues) সেকশনে একটি সিএসপি (CSP) ইস্যু দেখানো হয়।
আপনার পেজে ব্লক করা সমস্ত রিসোর্সের তালিকা দেখতে, CSP ইস্যুটির পাশে থাকা 'View issue' নির্বাচন করুন।
আপনার কন্টেন্ট সিকিউরিটি পলিসিতে ব্লক করা সমস্ত রিসোর্স যোগ করুন।