Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש ב-Tag Manager עם Content Security Policy

Content Security Policy ‏ (CSP) הוא תקן אבטחה לאינטרנט שנתמך באופן נרחב. הוא נועד למנוע סוגים מסוימים של מתקפות מבוססות-החדרה, בכך שהוא מאפשר למפתחים לשלוט במשאבים שנטענים על ידי האפליקציות שלהם. במדריך הזה מוסבר איך להטמיע את Google Tag Manager באתרים שמשתמשים ב-CSP.

הפעלת תג כלי קיבול לשימוש ב-CSP

כדי להשתמש ב-Google Tag Manager בדף עם CSP, ה-CSP צריך לאפשר את ההפעלה של קוד מאגר התגים של Tag Manager. הקוד הזה בנוי כקוד JavaScript מוטבע שמזריק את הסקריפט gtm.js. יש כמה דרכים לעשות את זה, למשל באמצעות nonce או hash. השיטה המומלצת היא להשתמש בצופן חד-פעמי (nonce), שצריך להיות ערך אקראי שאי אפשר לנחש, והשרת יוצר אותו בנפרד לכל תגובה. מציינים את ערך ה-nonce בהוראה script-src של Content-Security-Policy:

Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com www.google.com

לאחר מכן משתמשים בגרסה עם התמיכה ב-nonce של קוד מאגר התגים של Tag Manager שמוטמע בדף. מגדירים את מאפיין ה-nonce ברכיב הסקריפט המוטבע לאותו ערך:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

מערכת Tag Manager תפיץ את ה-nonce לכל הסקריפטים שהיא מוסיפה לדף.

יש גישות אחרות להפעלת סקריפט מוטמע, כמו ציון הגיבוב של הסקריפט המוטמע ב-CSP.

אם לא ניתן להשתמש בגישות המומלצות של nonce או hash, אפשר להפעיל את סקריפט השורה של Tag Manager על ידי הוספת ההנחיה 'unsafe-inline' לקטע script-src של CSP.

אנחנו ממליצים שלא להשתמש ב-'unsafe-inline'. חשוב לקחת בחשבון את ההשלכות על האבטחה של הוספת ההנחיה הזו ל-CSP לפני שמשתמשים בגישה הזו.

כדי להשתמש בגישה הזו, צריך להוסיף את ההנחיות הבאות ל-CSP:

הוראה	תוכן
script-src	‪'unsafe-inline' https://www.googletagmanager.com
img-src	www.googletagmanager.com
connect-src	www.googletagmanager.com www.google.com

משתני JavaScript בהתאמה אישית

בגלל האופן שבו משתני JavaScript בהתאמה אישית מוטמעים, הם יקבלו את הערך undefined בנוכחות CSP, אלא אם ההוראה 'unsafe-eval' ניתנת בקטע script-src של ה-CSP.

כדי להימנע מנקודות חולשה פוטנציאליות באבטחה, צריך להשתמש ב- 'unsafe-eval' רק כשאין ברירה אחרת.

הוראה	תוכן
script-src	'unsafe-eval'

מצב תצוגה מקדימה

כדי להשתמש במצב התצוגה המקדימה של Google Tag Manager, מדיניות ה-CSP צריכה לכלול את ההנחיות הבאות:

הוראה	תוכן
script-src	https://googletagmanager.com https://tagmanager.google.com
style-src	https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src	https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src	נתונים מ-https://fonts.gstatic.com:

Google Analytics 4

כדי להשתמש בתג Google Analytics 4, ה-CSP צריך לכלול את ההוראות הבאות. נקודות קצה שמסומנות ב-¹ מיועדות במיוחד לתכונות פרסום, אבל מומלץ לכלול אותן במהלך ההגדרה הראשונית כדי שלא יהיה צורך לעדכן את ה-CSP אם תקשרו את Google Ads בהמשך.

הוראה	תוכן
script-src	https://*.googletagmanager.com
img-src	https://.google-analytics.com https://.googletagmanager.com https://.g.doubleclick.net ¹ https://.google.com ¹ https://*.google.<TLD> ¹
connect-src	https://.google-analytics.com https://.analytics.google.com https://.googletagmanager.com https://.g.doubleclick.net ¹ https://.google.com ¹ https://.google.<TLD> ¹ https://pagead2.googlesyndication.com ¹
frame-src	https://www.googletagmanager.com ¹

^‫1 נקודות קצה לפרסום: הדומיינים האלה נדרשים באופן פעיל רק להטמעות של GA4 שמקושרות ל-Google Ads או שמנצלות תכונות פרסום.

Google Ads

כדי להשתמש בתג המרה, בתג רימרקטינג או בתג Conversion Linker של Google Ads, צריך לכלול את ההנחיות הבאות ב-CSP:

הוראה	תוכן
script-src	https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com https://pagead2.googlesyndication.com https://googleads.g.doubleclick.net
img-src	https://www.googletagmanager.com https://googleads.g.doubleclick.net https://www.google.com https://pagead2.googlesyndication.com https://www.googleadservices.com https://google.com https://www.google.<TLD>
frame-src	https://www.googletagmanager.com
connect-src	https://pagead2.googlesyndication.com https://www.googleadservices.com https://googleads.g.doubleclick.net https://ad.doubleclick.net https://www.google.com https://google.com https://www.google.<TLD>

משואה של נתוני משתמש ב-Google Ads

כדי להשתמש במשואות (beacons) של נתוני משתמשים ב-Google Ads כשמפעילים אותן בהקשרים מאובטחים, צריך לכלול ב-CSP את ההוראות הבאות:

הוראה	תוכן
script-src	https://www.googletagmanager.com
frame-src	https://www.googletagmanager.com
connect-src	https://google.com https://www.google.com

המשואה של נתוני משתמשים ב-Google Ads לא פועלת בהקשרים לא מאובטחים, ולכן הגדרת CSP לא רלוונטית במקרים כאלה.

Floodlight

משתמשי Floodlight יכולים להפעיל CSP באמצעות ההגדרות הבאות. מחליפים את הערכים של <FLOODLIGHT-CONFIG-ID> במזהה מפרסם ספציפי של Floodlight או בערך * כדי לאפשר שימוש בכל מזהה מפרסם:

לכל המשתמשים:

הוראה	תוכן
img-src	https://ad.doubleclick.net https://ade.googlesyndication.com https://adservice.google.com https://www.googletagmanager.com
frame-src	https://www.googletagmanager.com
connect-src	https://pagead2.googlesyndication.com https://www.google.com https://www.googleadservices.com https://ad.doubleclick.net

למשואות (beacons) של 'סקריפטים מותאמים אישית':

הוראה	תוכן
frame-src	https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net

לתגי תמונה:

הוראה	תוכן
img-src	https://ad.doubleclick.net https://ade.googlesyndication.com

Merchant Center

כדי לשלוח נתונים ל-Merchant Center, מדיניות ה-CSP צריכה לכלול את ההנחיות הבאות:

הוראה	תוכן
script-src	https://*.googletagmanager.com
img-src	https://*.merchant-center-analytics.goog
connect-src	https://*.merchant-center-analytics.goog

קובץ שירות (service worker)

כדי להשתמש ב-Service Worker לצורך התאמה משופרת, אותות של נתוני משתמשים והמרות ב-Google Ads, צריך לכלול את ההנחיות הבאות ב-CSP:

הוראה	תוכן
frame-src	https://www.googletagmanager.com

איך פותרים בעיות בעזרת Tag Assistant

כדי לפתור בעיות שקשורות ל-Content Security Policy‏ (CSP), אפשר להשתמש ב-Tag Assistant. ב-Tag Assistant תוצג רשימת המשאבים שנחסמו על ידי Content Security Policy.

פותחים את Tag Assistant ומזינים את כתובת האתר. האתר ייפתח בכרטיסייה חדשה.
אם תקן Content Security Policy בדף חוסם משאב, בעיה שקשורה ל-CSP תוצג בקטע בעיות בדף בכלי Tag Assistant.
לוחצים על הצגת הבעיה לצד בעיית ה-CSP כדי לראות את רשימת כל המשאבים החסומים בדף.
מוסיפים את כל המשאבים החסומים למדיניות אבטחת התוכן.

שימוש ב-Tag Manager עם Content Security Policy קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

הפעלת תג כלי קיבול לשימוש ב-CSP

משתני JavaScript בהתאמה אישית

מצב תצוגה מקדימה

Google Analytics 4

Google Ads

משואה של נתוני משתמש ב-Google Ads

Floodlight

Merchant Center

קובץ שירות (service worker)

איך פותרים בעיות בעזרת Tag Assistant

שימוש ב-Tag Manager עם Content Security Policy