代码之家  ›  专栏  ›  技术社区  ›  Calimero Milkmannetje

Google Tag Manager集成安全-noscript iframe沙盒

  •  4
  • Calimero Milkmannetje  · 技术社区  · 7 年前

    我有一个网站使用谷歌标签管理器成功实施以下的官方指导方针( https://developers.google.com/tag-manager/quickstart ),包括步骤2中建议的片段:

    <!-- Google Tag Manager (noscript) -->
    <noscript><iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXX"
    height="0" width="0" style="display:none;visibility:hidden"></iframe></noscript>
    <!-- End Google Tag Manager (noscript) -->

    接近尾声 <body>

    现在,一家咨询机构建议我添加一个 sandbox 归因于此 iframe 元素,以加强整体网站的安全性,以及一系列其他建议。

    虽然我想我明白了iframe的意思 属性值及其后果,我希望有人能启发我,在固定、可信的iframe源和 乔治·毛内 元素(在技术上不执行脚本),尤其是在安全方面。还请解释您认为哪些价值观(如果有的话)在这一特定背景下可能是合适的。

    沙箱 属性值: https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe#attr-sandbox

    我已经搜索了这个,但没有找到这个特定问题的参考文献。

    提前谢谢你。

    1 回复  |  直到 7 年前
        1
  •  2
  •   Community THelper    4 年前

    安全

    普通客户端

    noscript 当javascript可用时,不会呈现节。iframe(如果存在)的安全意义也有限,因为您将从同一站点添加一个实际脚本,该站点具有页面内代码,可以并且确实可以从您的源站向页面添加内容,以及根据您的容器配置添加其他iframe。

    HTML5+客户端,无JS

    从理论上讲,这会阻止谷歌(或可能对你的容器内容进行专门更改)通过在iframe中模仿你的网站或运行JS而受益。但是该样式将其隐藏,并且客户端可能不允许仅在子iFrame中使用JS,除非它们具有特定于域的JS阻塞规则。

    HTML4-不带JS的客户端

    他们不理解这个属性。

    可能的行为影响:

    1. GTM调试器可能会因默认代码段的更改而关闭,并且不会出现。
    2. 验证代码段的浏览器扩展或站点扫描仪可能会报告错误或警告。
    3. sandbox .
    4. 乔治·毛内 代码段并失败。
    推荐文章