更新時間:2026年6月1日
問題
如果你在GTM中使用「自訂 HTML」標籤安裝第三方追蹤程式碼,可能會看到GTM顯示類似「惡意軟體」或安全性警告訊息,導致標籤無法正常發布或執行:
這種情況在安裝第三方行銷工具、聊天工具、熱圖工具、廣告追蹤程式或其他外部JavaScript時較容易發生
原因
這是GTM裡的惡意軟體偵測功能。
GTM會自動分析自訂 HTML 中執行的 JavaScript,並檢查其載入的外部資源是否存在安全風險,例如:
- 惡意程式碼
- 可疑的JavaScript檔案
- 已被列入黑名單的網域
- 未經授權的資料蒐集行為
- 與惡意網站共享資料
最常見的情境是加載未知的js,如你安裝的是a.js,但a.js加載b.js,而b.js被Google判定具有風險,即使你安裝的a.js本身沒有問題,GTM仍可能觸發安全警告。
如何確認原因?
可以從以下幾個方向檢查:
1. 檢查程式碼是否載入其他JS
查看供應商提供的程式碼:
<script src="https://vendor.com/a.js"></script>
並使用瀏覽器開發者工具(Developer Tools)觀察:
- 是否又載入其他JS檔案
- 是否有跨網域請求
- 是否與未知第三方服務交換資料
2. 確認網域信譽
檢查程式碼所連接的網域:
- 是否為官方網域
- 是否近期遭入侵
- 是否曾被Google Safe Browsing標記
有些工具本身正常,但其CDN或合作夥伴網域可能已被列入風險名單。
3. 詢問供應商
向程式碼供應商確認:
- 是否會動態載入其他JavaScript
- 是否會與第三方共享資料
- 是否使用外部廣告或追蹤服務
- 是否近期更換過CDN或伺服器
解決方式
- 優先使用 GTM 社群範本庫(推薦):最安全的做法是使用GTM的社群範本庫,如果你要安裝的工具已有官方或社群維護的GTM範本,建議優先採用。
- 改為直接安裝到網站原始碼:若GTM持續阻擋該程式碼,但你已確認其來源可信,可以考慮改由網站原始碼安裝,這樣可避開GTM的自訂 HTML安全性檢查機制。不過在安裝前,仍應確認程式碼來源安全可靠。
- 要求供應商提供更透明的實作方式:若供應商無法清楚說明其運作方式,應審慎評估是否繼續使用。
