我正在创建一个市场应用程序,我想让我的卖家将他们的谷歌标签管理器添加到产品页面和结账成功页面。我对营销工具不是很熟悉,但据我所知,可以通过GTM添加自定义脚本。
我的问题是,这些脚本能走多远,这是否会对我的应用程序造成任何安全问题?我也知道还有白名单和黑名单。我的目标是只允许谷歌脚本和脸书像素信息通过GTM运行,所以我带来了这个数据层:
var dataLayer = [{
"gtm.whitelist": ["google","customPixels"]
"gtm.blacklist": ["customScripts"]
}];
GTM脚本将仅在特定的卖家产品内部加载,并且当结账成功页面包含任何卖家产品时。没有其他页面将加载该脚本。这是高风险吗?
我的问题是,这些脚本能走多远,这是否会导致我的应用程序存在安全问题
就JavaScript而言(因为GTM容器只不过是在浏览器中执行的一些JS代码(这可能是一个巨大的安全风险,例如,有人可以添加一个带有keydown侦听器的标签,并捕获每个用户的击键,包括密码等。
我的目标是只允许谷歌脚本和脸书像素信息运行GTM,所以我带着这个数据层来了:
是的,这样会更好。
GTM脚本将仅在特定的卖家产品和当结账成功页面有任何卖家产品时。没有其他页面将加载脚本。这是高风险吗
执行以下操作应防止外部GTM容器造成安全风险:
- 仅在安全标签上设置GTM白名单(GA、FB像素…(
- 仅允许卖家提供其GTM容器ID(
GTM-XXXXXXXX( - 基于2生成并插入GTM容器加载片段
不允许您的用户复制/粘贴他们的GTM容器片段,因为可能会覆盖并绕过该片段内的dataLayer白名单(window.dataLayer=[](。