我正在创建一个市场应用程序,我想让我的卖家将其Google跟踪代码管理器添加到产品页面和结帐成功页面。我对行销工具不是很熟悉,但是据我所知,可以通过GTM添加自定义脚本。
我的问题是,该脚本可以执行多远?这是否会对我的应用程序造成任何安全问题?我也知道也有白名单和黑名单。我的目标是仅允许Google脚本和Facebook像素信息通过GTM运行,所以我附带了此数据层:
var dataLayer = [{
"gtm.whitelist": ["google","customPixels"]
"gtm.blacklist": ["customScripts"]
}];
GTM脚本将仅在特定的卖方产品内以及结帐成功页面上有任何卖方产品时加载。没有其他页面将加载脚本。这是高风险吗?
我的问题是,这些脚本可以走多远?我的应用程序的安全性问题?
就JavaScript而言(由于GTM容器不过是在浏览器中执行的某些JS代码而已)。 [这可能会带来巨大的安全风险,例如,某人可以添加带有keydown listener的标签并捕获每个用户的每次击键,包括密码等。
我的目标是仅允许Google脚本和Facebook像素信息运行GTM,所以我附带了这个数据层:
是的,这样会更好。
GTM脚本将仅在特定的卖方产品内加载,并且当结帐成功页面上有任何卖方产品时。没有别的页面将加载脚本。这是高风险吗?
进行以下应防止外部GTM容器引起安全风险:
keydown)不允许您的用户复制/粘贴其GTM容器代码段,因为这样一来,您就可以覆盖并规避该代码段内的dataLayer白名单(window.dataLayer = [])。