Google 跟踪代码管理器集成安全性 - noscript iframe 沙盒

Google Tag Manager integration security - noscript iframe sandboxing

美好的一天。

我有一个使用 Google 跟踪代码管理器的网站已按照官方指南 (https://developers.google.com/tag-manager/quickstart ) 成功实施,包括第 2 步中建议的片段:

<!-- Google Tag Manager (noscript) -->
<noscript><iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXX"
height="0" width="0" style="display:none;visibility:hidden"></iframe></noscript>
<!-- End Google Tag Manager (noscript) -->

接近主模板 <body> 元素的末尾,这是应该的。

现在,一家咨询机构建议我向该 iframe 元素添加一个 sandbox 属性,以加强网站的整体安全性,以及一系列其他建议。

虽然我认为我明白了 iframe sandbox 属性值及其后果的要点,但我希望有人能告诉我它在固定的、受信任的 iframe 的上下文中有什么好处源和 noscript 元素的上下文(技术上没有脚本要执行),特别是在安全方面。还请解释您认为哪些值(如果有的话)在这种特定情况下可能是合适的。

sandbox 属性值参考:https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe#attr-sandbox

我搜索过这个,但没有找到关于这个特定问题的参考资料。

提前谢谢你。

安全

普通客户

这没有安全影响,因为 noscript 部分在 javascript 可用时不会呈现。 iframe(如果存在)的安全意义也很有限,因为您将从同一站点添加一个实际脚本,该脚本具有页面内代码,可以并且确实从您的来源向页面添加内容以及添加其他 iframe取决于您的容器配置。

HTML5+ 客户w/o JS

理论上,这会阻止 google(或可能对您的容器内容进行专门更改)通过在 iframe 或 运行 JS 中模仿您的网站而受益。但是样式隐藏了它,并且客户端可能不允许仅在子 iframe 中使用 JS,除非它们具有特定于域的 JS 阻止规则。

HTML4- 客户 w/o JS

他们不理解这个属性。

可能的行为影响:

  1. GTM 调试器可能会因默认代码段的更改而被关闭而不会出现。
  2. 验证代码段的浏览器扩展程序或站点扫描程序可能会报告错误或警告。
  3. noJS 客户端的执行可能会受到影响,但不清楚会发生什么可配置跟踪,它可能会在不受 sandbox 影响的服务器端处理。
  4. 写得不好的标签或其他 JS 可能过于具体地针对 noscript 片段的内容而失败。