कॉन्टेंट की सुरक्षा के बारे में नीति (सीएसपी), ज़्यादातर लोगों के लिए उपलब्ध वेब है सुरक्षा मानक, जिसे इंजेक्शन से किए जाने वाले कुछ खास तरह के हमलों से बचाने के लिए डिज़ाइन किया गया है देकर डेवलपर को उनके ऐप्लिकेशन पर लोड किए गए संसाधनों पर कंट्रोल दे सकते हैं. इस गाइड का इस्तेमाल करके, उन साइटों पर Google Tag Manager डिप्लॉय करने का तरीका जानें जिन्हें सीएसपी का इस्तेमाल करते हैं.
सीएसपी का इस्तेमाल करने के लिए, कंटेनर टैग को चालू करें
सीएसपी वाले पेज पर Google Tag Manager का इस्तेमाल करने के लिए, सीएसपी को
आपके Tag Manager कंटेनर कोड को कैसे एक्ज़ीक्यूट किया जाए. इस कोड को इनलाइन के तौर पर बनाया गया है
JavaScript कोड, जो gtm.js स्क्रिप्ट को इंजेक्ट करता है. विज्ञापन देने के कई तरीके हैं.
जैसे, नॉन्स या हैश का इस्तेमाल करना. हमारा सुझाव है कि आप
nonce, यह ऐसा रैंडम वैल्यू होना चाहिए जिसे सर्वर जनरेट करता है.
हर जवाब के लिए अलग-अलग वैल्यू असाइन करें. कॉन्टेंट-सुरक्षा में नॉन्स वैल्यू दें-
नीति script-src के बारे में निर्देश:
Content-Security-Policy:
script-src 'nonce-{SERVER-GENERATED-NONCE}';
img-src www.googletagmanager.com;
connect-src www.googletagmanager.com
इसके बाद, इनलाइन Tag Manager कंटेनर कोड के नॉन्स-अवेयर वर्शन का इस्तेमाल करें. इनलाइन स्क्रिप्ट एलिमेंट पर, नॉन्स एट्रिब्यूट को इस वैल्यू पर सेट करें:
<!-- Google Tag Manager -->
<script nonce='{SERVER-GENERATED-NONCE}'>(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
'https://www.googletagmanager.com/gtm.js?id='+i+dl;var n=d.querySelector('[nonce]');
n&&j.setAttribute('nonce',n.nonce||n.getAttribute('nonce'));f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXX');</script>
<!-- End Google Tag Manager -->
इसके बाद Tag Manager, उन सभी स्क्रिप्ट में नॉन्स को लागू कर देगा जिनमें वह जोड़ा गया है पेज.
इनलाइन स्क्रिप्ट को एक्ज़ीक्यूट करने के अन्य तरीके भी हैं, जैसे सीएसपी में इनलाइन स्क्रिप्ट का हैश देने के लिए.
अगर नॉन्स या हैश के सुझाए गए तरीके काम नहीं करते हैं, तो
'unsafe-inline' जोड़कर Tag Manager की इनलाइन स्क्रिप्ट चालू करें
सीएसपी के script-src सेक्शन के लिए निर्देश.
इस तरीके का इस्तेमाल करने के लिए, सीएसपी में ये निर्देश ज़रूरी हैं:
script-src: 'unsafe-inline' https://www.googletagmanager.com
img-src: www.googletagmanager.com
connect-src www.googletagmanager.com
कस्टम JavaScript वैरिएबल
कस्टम JavaScript वैरिएबल लागू करने के तरीके की वजह से,
सीएसपी की मौजूदगी में undefined के तौर पर आकलन करेगा, जब तक कि 'unsafe-eval'
सीएसपी के script-src सेक्शन में, निर्देश दिया गया है.
script-src: 'unsafe-eval'
'झलक देखें' मोड
Google Tag Manager के झलक मोड का इस्तेमाल करने के लिए, सीएसपी में नीचे दिए गए निर्देशों का पालन करें:
script-src: https://googletagmanager.com https://tagmanager.google.com
style-src: https://googletagmanager.com https://tagmanager.google.com https://fonts.googleapis.com
img-src: https://googletagmanager.com https://ssl.gstatic.com https://www.gstatic.com
font-src: https://fonts.gstatic.com data:
Google Analytics 4 (Google Analytics)
Google Analytics 4 (Google Analytics) टैग का इस्तेमाल करने के लिए, सीएसपी में नीचे दिए गए निर्देशों का पालन करें:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.googletagmanager.com
connect-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
Google सिग्नल का इस्तेमाल करके Google Analytics 4 (Google Analytics) के डिप्लॉयमेंट के लिए, सीएसपी में ये निर्देश शामिल होने चाहिए:
script-src: https://*.googletagmanager.com
img-src: https://*.google-analytics.com https://*.analytics.google.com https://*.googletagmanager.com
https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
connect-src: https://*.google-analytics.com https://*.analytics.google.com
https://*.googletagmanager.com https://*.g.doubleclick.net https://*.google.com https://*.google.<TLD>
frame-src: https://td.doubleclick.net
Universal Analytics (Google Analytics)
Universal Analytics (Google Analytics) टैग का इस्तेमाल करने के लिए, सीएसपी में नीचे दिए गए निर्देशों का पालन करें:
script-src: https://www.google-analytics.com https://ssl.google-analytics.com
img-src: https://www.google-analytics.com
connect-src: https://www.google-analytics.com
Google Ads कन्वर्ज़न
Google Ads कन्वर्ज़न टैग का इस्तेमाल करने के लिए, सीएसपी में ये शामिल होनी चाहिए डायरेक्टिव:
सुरक्षित कनेक्शन के लिए:
script-src: https://www.googleadservices.com https://www.google.com https://www.googletagmanager.com
img-src: https://googleads.g.doubleclick.net https://www.google.com https://google.com
frame-src: https://www.googletagmanager.com https://td.doubleclick.net
असुरक्षित कनेक्शन के लिए:
script-src: www.googleadservices.com www.google.com www.googletagmanager.com
img-src: googleads.g.doubleclick.net www.google.com google.com
Google Ads की रीमार्केटिंग सुविधा
Google Ads रीमार्केटिंग टैग का इस्तेमाल करने के लिए, सीएसपी में नीचे दी गई जानकारी शामिल होनी चाहिए डायरेक्टिव के तौर पर इस्तेमाल किया जा सकता है.
सुरक्षित कनेक्शन के लिए:
script-src: https://www.googleadservices.com https://googleads.g.doubleclick.net https://www.google.com
img-src: https://www.google.com https://google.com
frame-src: https://bid.g.doubleclick.net https://td.doubleclick.net
असुरक्षित कनेक्शन के लिए:
script-src: www.googleadservices.com googleads.g.doubleclick.net www.google.com
img-src: www.google.com google.com
frame-src: bid.g.doubleclick.net td.doubleclick.net
Google Ads उपयोगकर्ता डेटा बीकन
सुरक्षित कॉन्टेक्स्ट में चलाते समय, Google Ads के उपयोगकर्ता डेटा बीकन का इस्तेमाल करने के लिए, सीएसपी इसमें नीचे दिए गए निर्देश शामिल होने चाहिए:
script-src: https://www.googletagmanager.com
frame-src: https://www.googletagmanager.com
Google Ads का उपयोगकर्ता डेटा बीकन असुरक्षित कॉन्टेक्स्ट में नहीं चलता है. इसलिए, सीएसपी कॉन्फ़िगरेशन लागू नहीं होगा.
फ़्लडलाइट
Floodlight के उपयोगकर्ता, इन कॉन्फ़िगरेशन का इस्तेमाल करके सीएसपी को चालू कर सकते हैं. बदलें
किसी खास विकल्प के साथ <FLOODLIGHT-CONFIG-ID> वैल्यू
किसी भी ऐडवर्टाइज़र आईडी को अनुमति देने के लिए, Floodlight ऐडवर्टाइज़र आईडी या *:
सभी उपयोगकर्ताओं के लिए:
img-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
frame-src: https://td.doubleclick.net
"कस्टम स्क्रिप्ट" के लिए Tag Manager में बीकन:
frame-src: https://<FLOODLIGHT-CONFIG-ID>.fls.doubleclick.net
इमेज टैग के लिए:
img-src: https://ad.doubleclick.net
सहमति मोड के लिए:
img-src: https://ade.googlesyndication.com