我正在多个网络应用程序上实施Google跟踪代码管理器(GTM)。其中一个应用程序要求用户提供个人信息。审核应用程序代码有很好的流程,以确保个人信息安全存储且不泄漏。
然而,实施GTM将不可避免地意味着网络分析师可以编写和部署读取这些输入字段的JavaScript代码,并将信息发送给第三方(例如Google Analytics)。
有没有办法阻止Google跟踪代码管理器访问用户输入此信息的输入字段?
答案 0 :(得分:0)
我没有在GTM v2中使用它,但在v1中通过页面中的代码can blacklist types of tags(这不能通过GTM界面中的配置覆盖) - 因此您可以阻止用户实现自定义HTML / JavaScript标记,可能包含从页面中提取信息的代码。请记住也将自定义JavaScript宏列入黑名单,因为它们也可以这样做。
如果您的页面将任何信息写入全局javascript变量,您还必须禁用JavaScript变量宏(这将允许用户在宏中编写提取函数),以及可能的DOM元素宏
更好的是,不要做黑名单,创建白名单。
此外,虽然许多人可能有权添加标签,但应该只有一个人有权发布更改,并签署每个新标签。这样,如果出现问题,至少有人负责。