Terima kasih telah melihat pratinjau dokumentasi platform tag Google yang baru. Situs ini berstatus beta versi publik. (Masukan)

Menggunakan Tag Manager dengan Kebijakan Keamanan Konten

Kebijakan Keamanan Konten (CSP) adalah standar keamanan Web yang didukung luas yang dimaksudkan untuk mencegah jenis serangan berbasis injeksi tertentu dengan memberi developer kontrol atas resource yang dimuat oleh aplikasi mereka. Gunakan panduan ini untuk memahami cara men-deploy Google Tag Manager di situs yang menggunakan CSP.

Mengaktifkan tag container untuk menggunakan CSP

Untuk menggunakan Google Tag Manager di halaman dengan CSP, CSP harus memungkinkan eksekusi kode penampung Tag Manager Anda. Kode ini dibuat sebagai kode JavaScript inline yang memasukkan skrip gtm.js. Ada beberapa cara untuk melakukannya, seperti penggunaan nonce atau hash. Metode yang direkomendasikan adalah menggunakan nonce, yang harus berupa nilai acak yang tidak dapat diprediksi, yang dihasilkan server satu per satu untuk setiap respons. Berikan nilai nonce di perintah script-src Kebijakan Keamanan Konten:

Content-Security-Policy: script-src 'nonce-{SERVER-GENERATED-NONCE}'; img-src www.googletagmanager.com

Kemudian, gunakan versi berbasis nonce dari kode penampung Tag Manager inline. Tetapkan atribut nonce di elemen skrip inline ke nilai yang sama:

<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->

Tag Manager kemudian akan menyebarkan nonce ke skrip apa pun yang ditambahkannya ke halaman.

Ada pendekatan lain untuk mengaktifkan eksekusi skrip inline, seperti menyediakan hash skrip inline dalam CSP. Lihat dokumentasi CSP untuk detail selengkapnya.

Jika pendekatan nonce atau hash yang direkomendasikan tidak memungkinkan, skrip inline Tag Manager dapat diaktifkan dengan menambahkan perintah 'unsafe-inline' ke bagian script-src CSP.

Perintah berikut diperlukan dalam CSP untuk menggunakan pendekatan ini:

script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com

Variabel JavaScript Kustom

Karena cara penerapan Variabel JavaScript Kustom, variabel ini akan dievaluasi ke undefined jika ada CSP, kecuali jika perintah 'unsafe-eval' diberikan di bagian script-src pada CSP.

script-src: 'unsafe-eval'

Mode Pratinjau

Untuk menggunakan Mode Pratinjau Google Tag Manager, CSP harus menyertakan perintah berikut:

script-src: https://tagmanager.google.com
style-src: https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:

Universal Analytics (Google Analytics)

Untuk menggunakan tag Universal Analytics (Google Analytics), CSP harus menyertakan perintah berikut:

script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com

Google Optimize

Untuk menggunakan tag Google Optimize, CSP harus menyertakan perintah berikut:

script-src: https://www.google-analytics.com

Untuk menggunakan tag konversi Google Ads, CSP harus menyertakan perintah berikut:

Untuk koneksi aman:

script-src: https://www.googleadservices.com https://www.google.com
img-src: https://googleads.g.doubleclick.net https://www.google.com

Untuk koneksi tidak aman:

script-src: www.googleadservices.com www.google.com
img-src: googleads.g.doubleclick.net www.google.com

Untuk menggunakan tag pemasaran ulang Google Ads, CSP harus menyertakan perintah berikut.

Untuk koneksi aman:

script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com
frame-src: https://bid.g.doubleclick.net

Untuk koneksi tidak aman:

script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com
frame-src: bid.g.doubleclick.net

Floodlight

Pengguna Floodlight dapat mengaktifkan CSP melalui konfigurasi berikut. Nilai <FLOODLIGHT-CONFIG-ID> harus diganti dengan ID pengiklan Floodlight tertentu, atau * untuk mengizinkan ID pengiklan apa pun:

Untuk semua pengguna:

img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net

Untuk beacon "skrip kustom" di Tag Manager:

frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net

Untuk tag gambar:

img-src: https://ad.doubleclick.net

Untuk mode izin:

img-src: https://ade.googlesyndication.com