我正在创建一个市场应用程序,我想让我的卖家将他们的谷歌标签管理器添加到产品页面和结帐成功页面。我对营销工具不是很熟悉,但据我所知,可以通过 GTM 添加自定义脚本。我的问题是,这个脚本能走多远,这是否可能对我的应用程序造成任何安全问题?我也知道还有白名单和黑名单。我的目标是只允许 google 脚本和 facebook 像素信息通过 GTM 运行,所以我使用了这个数据层:var dataLayer = [{ "gtm.whitelist": ["google","customPixels"] "gtm.blacklist": ["customScripts"]}];GTM 脚本将仅在特定卖家产品内以及结帐成功页面包含任何卖家产品时加载。没有其他页面会加载脚本。这是高风险吗?
1 回答
桃花长相依
TA贡献1860条经验 获得超8个赞
我的问题是,这个脚本能走多远,这是否可能对我的应用程序造成任何安全问题?
就 JavaScript 而言(因为 GTM 容器只不过是在浏览器中执行的一些 JS 代码)。这可能是一个巨大的安全风险,例如有人可以添加一个带有keydown监听器的标签并捕获每个用户的按键,包括密码等......
我的目标是只允许 google 脚本和 facebook 像素信息通过 GTM 运行,所以我使用了这个数据层:
是的,这已经更好了。
GTM 脚本将仅在特定卖家产品内以及结帐成功页面包含任何卖家产品时加载。没有其他页面会加载脚本。这是高风险吗?
执行以下操作应该可以防止外部 GTM 容器造成安全风险:
仅在安全标签(GA、FB 像素...)上设置 GTM 白名单
只允许卖家提供他们的 GTM 容器 ID (
GTM-XXXXXXXX)根据2生成并插入GTM容器加载片段。
不要让您的用户复制/粘贴他们的 GTM 容器片段,因为可能会覆盖和绕过该片段中的 dataLayer 白名单 (window.dataLayer=[])。
添加回答
举报
0/150
提交
取消