Риск добавления стороннего менеджера тегов Google на веб-сайт - PullRequest
Новая
       73

Риск добавления стороннего менеджера тегов Google на веб-сайт

0 голосов
/ 20 марта 2020

Я создаю приложение на торговой площадке и хочу, чтобы мои продавцы добавили свой Менеджер тегов Google на страницы продукта и страницу успеха оформления заказа. Я не очень знаком с инструментами маркетинга, но, насколько я знаю, есть возможность добавлять собственные сценарии через GTM.

У меня такой вопрос, как далеко могут эти сценарии go и может ли это вызвать какие-либо проблемы с безопасностью моего приложения? Я также знаю, что есть также белый и черный список. Моя цель состоит в том, чтобы разрешить только GTG-скрипты и информацию о пикселях Facebook для прохождения через GTM, поэтому я пришел с этим даталером: 

var dataLayer = [{
  "gtm.whitelist": ["google","customPixels"]
  "gtm.blacklist": ["customScripts"]
}];

GTM-скрипт будет загружен только внутри определенных c продуктов продавца и когда На странице успеха оформления заказа есть товар продавца. Другие страницы не будут загружать скрипт. Это высокого риска?

1 Ответ

0 голосов
/ 23 марта 2020

Мой вопрос: как далеко могут работать эти сценарии go и может ли это вызвать какие-либо проблемы с безопасностью для моего приложения?

До JavaScript может go (поскольку контейнер GTM - это не что иное, как какой-то код JS, выполняемый в браузере). Это может быть серьезная угроза безопасности , например, кто-то может добавить тег с keydown слушателем и перехватывать все нажатия клавиш, включая пароли и c ...

Моя цель - разрешить только GTG-скрипты и информацию о пикселях Facebook для прохождения через GTM, поэтому я пришел с этим даталом:

Да, это было бы уже лучше.

Скрипт GTM будет загружен только внутри указанных c товаров продавца и когда на странице успеха оформления заказа есть какой-либо товар продавца. Другие страницы не будут загружать скрипт. Это высокий риск?

Выполнение нижеприведенного должно предотвратить появление внешних контейнеров GTM для угрозы безопасности :

  1. Установить белый список GTM только для безопасных тегов (GA, FB pixel ...)
  2. Разрешить продавцам указывать свой идентификатор контейнера GTM (GTM-XXXXXXXX)
  3. Создать и вставить фрагмент загрузки контейнера GTM на основе 2 .

Не позволяйте пользователям копировать / вставлять их фрагмент контейнера GTM , так как в этом фрагменте можно перезаписать и обойти ваш белый список dataLayer (window.dataLayer = [] ).

...