安全合规包含两层含义:安全、合规。安全是指用户信息数据的存储、传输的安全,不易被拦截抓包。合规是指采集、使用用户的信息数据要合法合规。
安全:本地存储加密、埋点数据加密
合规:延迟初始化、动态开启/关闭采集
延迟初始化
Web JS SDK 在 v1.21.1 版本及以上提供了延迟初始化的方式来满足合规。客户在其用户同意《隐私政策》后,初始化 SDK 进行数据收集。具体可以参考以下步骤:
<script>
window.sensors_data_pre_config = {
is_compliance_enabled: true
}
</script>
<script charset='UTF-8' src="在 github 下载新版本的 sensorsdata.min.js "></script>
if(同意隐私条款){
sensors.init({
server_url: 'http://test-syg.datasink.sensorsdata.cn/sa?token=xxxxx&project=xxxxxx',
is_track_single_page:true, // 单页面配置,默认开启,若页面中有锚点设计,需要将该配置删除,否则触发锚点会多触发 $pageview 事件
use_client_time:true,
send_type:'beacon',
heatmap: {
//是否开启点击图,default 表示开启,自动采集 $WebClick 事件,可以设置 'not_collect' 表示关闭。
clickmap:'default',
//是否开启触达图,not_collect 表示关闭,不会自动采集 $WebStay 事件,可以设置 'default' 表示开启。
scroll_notice_map:'not_collect'
}
});
sensors.quick('autoTrack');
}
</script>
- 在加载 Web JS SDK 之前设置 window 全局变量 sensors_data_pre_config。
- 合规不支持 Web JS SDK API 中使用回调函数。
- 合规不支持异步加载的方式引入 Web JS SDK。
本地存储加密功能
目前 SDK 保存的 cookie 包含用户信息及 register 设置的属性信息,可以对 cookie 进行深层加密,保证安全性
使用加密功能时必须保证所有页面的 SDK 必须是最新版;否则如果某些页面使用了加密 cookie 的功能,那么 cookie 就是加密的,一旦个别页面使用的是老版本 SDK ,没有解密功能,都会导致无法解析 cookie ,从而造成产生新用户,用户无法统一
版本要求
- Web JS SDK 1.16.10 及以上版本
功能配置
<script charset="UTF-8">
var sensors = window["sensorsDataAnalytic201505"];
// 初始化SDK
sensors.init({
server_url: "数据接收地址",
// 开启 cookie 加密配置,默认 false
encrypt_cookie: true
});
sensors.quick("autoTrack");
</script>
埋点数据的加密功能
为了加强埋点数据的安全性,神策分析支持对埋点数据进行加密,并以密文的形式对数据进行存储和发送。
本功能需要服务端的配合,可以联系神策客户成功/项目经理协助开通服务端解密功能。
开启加密后,如果服务端不支持解密,数据无法入库,会丢失,埋点管理中不会有报错。
版本要求
- Web JS SDK 1.19.9 及以上版本
- Edge v0.3.0 及以上版本
- SDF 2.3 及以上版本
埋点数据开启 AES 加密
参考 插件集成 (Web) 文档,集成 AES 加密插件。
埋点数据开启自定义非对称加密
如果需要对发送的数据进行国密等格式的自定义非对称加密,参考 插件集成 (Web) 文档,集成自定义加密插件。
支持动态禁用/启用 SDK API 采集
// 禁用 API 执行
sensors.disableSDK()
// 恢复 API 执行
sensors.enableSDK()
注意:必须在 init 后调用,详细参考 disableSDK