Technologie9. června 2026 | FlexyConsent

Správa souhlasu v Prebid.js: Průvodce nastavením Header Bidding pro vydavatele

Header bidding zvyšuje CPM vydavatelů tím, že umožňuje partnerům na straně poptávky soutěžit paralelně — ale každý z těchto partnerů potřebuje platný signál souhlasu, než může umístit cookie, snímat otisk prstu nebo spustit pixel. Prebid.js, de facto open-source obal pro header bidding používaný desetitisíci webů, je dodáván s modulem pro správu souhlasu, který propojuje váš CMP s každou aukcí. Špatně jej nakonfigurujte a buď unikají data bez souhlasu (regulační riziko), nebo připravíte uchazeče o signál, který potřebují (riziko příjmů). Tento průvodce provede vydavatele nastavením na úrovni produkce.

Proč Prebid.js potřebuje modul správy souhlasu

Když probíhá aukce v Prebid.js, obal zasílá paralelní požadavky každému nakonfigurovanému adaptéru uchazeče. Každý adaptér musí do své nabídkové žádosti zahrnout řetězec souhlasu uživatele — tcfeu (TCF v2.2 pro EU/UK), usp (CCPA/CPRA) a stále více gpp (řetězec IAB Global Privacy Platform pokrývající více amerických států). Bez těchto signálů jsou downstream SSP a DSP nuceny buď zacházet s uživatelem jako s osobou, která se odhlásila, zcela odmítnout nabídku nebo — v nejhorším případě — zpracovávat data nezákonně.

Modul správy souhlasu Prebid se nachází mezi vaším CMP a kanálem nabídkových žádostí. Volá standardní CMP API (__tcfapi, __uspapi, __gppapi), čeká na řetězec souhlasu a poté jej automaticky vloží do datové části nabídkové žádosti každého adaptéru. Také vynucuje brány na základě účelu, když povolíte vynucování GDPR, blokující přístup k úložišti a spuštění uchazeče pro uživatele, kteří neudělili relevantní účely TCF.

Instalace a konfigurace hlavního modulu

Prebid.js se sestavuje pro každého vydavatele z docs.prebid.org/download.html. Při generování vlastního sestavení jsou důležité tři moduly v části „Správa souhlasu":

consentManagementTcf — zpracovává řetězce TCF v2.2 pro provoz z EU, Velké Británie a Švýcarska.
consentManagementUsp — zpracovává starší řetězec CCPA/CPRA US Privacy String (stále vyžadovaný mnoha DSP).
consentManagementGpp — zpracovává řetězec IAB GPP, výhledový standard nyní vyžadovaný Googlem, TTD a hlavními SSP.

Zahrňte všechny tři, pokud obsluhujete globální provoz. Jakmile sestavení dorazí na váš CDN, nakonfigurujte moduly ve svém skriptu nastavení Prebid:

Konfigurace TCF v2.2

Blok TCF říká Prebidem, které CMP API má volat, jak dlouho čekat na řetězec a co dělat při vypršení časového limitu. Typická produkční konfigurace nastavuje cmpApi: 'iab', timeout: 8000 (8 sekund — dostatečně dlouhé pro pomalé načítání banneru CMP) a defaultGdprScope: true, aby uživatelé v neznámých jurisdikcích byli považováni za součást rozsahu, dokud se neprokáže opak. Samostatné nastavení actionTimeout řídí, jak dlouho Prebid čeká, když uživatel zatím neinteragoval s bannerem — udržení mírné hodnoty zabraňuje prázdnému reklamnímu prostoru, pokud návštěvník banner ignoruje.

US Privacy a GPP

USP je jednoduché: povolte modul a Prebid načte čtyřznakový řetězec z __uspapi. GPP je nuancovanější, protože řetězec GPP může obsahovat více ID sekcí (TCF EU, US National, US California, US Colorado, US Virginia atd.). Prebid automaticky přeposílá celý řetězec, ale uchazeči kontrolují konkrétní sekce. Ujistěte se, že váš CMP vydává správné sekce GPP pro jurisdikci každého uživatele — špatně nakonfigurovaný CMP, který vydává pouze sekci US National pro uživatele z Kalifornie, způsobí, že DSP kompatibilní s CPRA nabídku odmítnou.

Povolení vynucování GDPR (brány na základě účelu)

Ve výchozím nastavení modul souhlasu předává řetězec TCF, ale nic neblokuje. Aby Prebid skutečně vynucoval účely TCF, povolte sadu pravidel gdprEnforcement. Zde se vyskytuje většina chyb při nastavování — a zde leží rozdíl mezi kompatibilním a nekompatibilním zásobníkem header bidding.

Standardní sada pravidel blokuje čtyři aktivity, když relevantní účel postrádá souhlas:

storage — podmíněno Účelem 1 (úložiště a přístup). Při odmítnutí Prebid brání uchazečům v čtení nebo zápisu cookies a localStorage.
basicAds — podmíněno Účelem 2 (základní reklamy). Při odmítnutí je uchazeč zcela vyloučen z aukce.
measurement — podmíněno Účelem 7. Ovlivňuje adaptéry analytiky.
transmitPreciseGeo — podmíněno Speciální funkcí 1. Při odmítnutí Prebid odstraňuje přesnou geolokaci z nabídkových žádostí.

Pro každé pravidlo nastavujete enforcePurpose: true, enforceVendor: true a seznam vendorExceptions. Seznam výjimek pro dodavatele je zásadní: každý uchazeč, kterého tam uvedete, smí participovat i bez explicitního souhlasu dodavatele TCF, na základě toho, že máte samostatný právní základ (např. oprávněný zájem kombinovaný se smluvním tokem). Používejte to střídmě — příliš široké výjimky jsou přesně vzorec, za který začali regulátoři udělovat pokuty vydavatelům.

Časté úskalí, která stojí vydavatele příjmy nebo shodu

Příliš nízký časový limit

Pokud je timeout kratší než čas vykreslení banneru vašeho CMP, Prebid pokračuje bez řetězce souhlasu. Uchazeči to považují za nedostatek souhlasu a odmítají nabídku. Změřte latenci prvního volání tcfapi('addEventListener') vašeho CMP na 95. percentilu a nastavte časový limit Prebid nad tuto hodnotu. 8000 ms je bezpečná výchozí hodnota; 3000 ms je riskantní, pokud obsluhujete trhy, kde bannery potřebují čas na lokalizaci.

Chybějící integrace GPP pro provoz z USA

Hlavní SSP a DSP (Google AdX, TTD, Magnite, PubMatic) nyní vyžadují řetězec GPP pro vynucování opt-out v USA. Pokud vydáváte pouze starší řetězec USP, budou tyto DSP vaši zásobu stále více degradovat nebo přeskakovat. Auditujte své odpovědi na nabídky: prudký pokles CPM v provozu z USA v roce 2026 je často chybějící signál GPP.

Zastaralé řetězce souhlasu při navigaci v SPA

Jednostránkové aplikace, které znovu spouštějí aukce Prebid při změnách tras, musí volat pbjs.refreshUserIds() a zajistit, aby byl načten nejnovější řetězec TCF. Uložený 30 minut starý řetězec může nést preference předchozího uživatele, pokud váš web používá sdílené relace.

Chybějící vendorExceptions pro analytiku

Vydavatelé často zapomínají, že adaptéry Prebid Analytics (Google Analytics, reporting na straně serveru) také podléhají bráně measurement podle TCF Účelu 7. Pokud na nich spoléháte pro reporting příjmů, vypište je explicitně pod výjimky dodavatele pro pravidlo měření, nebo přijměte datovou mezeru u provozu bez souhlasu.

Testování nastavení před produkcí

Prebid.js zpřístupňuje pbjs.getConfig('consentManagement') v konzoli prohlížeče. Ověřte, že aktivní konfigurace odpovídá vašemu záměru. Poté použijte rozšíření Chrome Prebid.js Professor nebo pbjs.getEvents() ke kontrole řetězce souhlasu připojeného ke každé nabídkové žádosti. Zkontrolujte namátkově tři scénáře: plně souhlasícího uživatele, uživatele, který klikl na „Odmítnout vše", a uživatele, který zavřel banner bez interakce. Každý by měl mít v datové části nabídkové žádosti jiné pozorovatelné chování.

Proveďte stejné kontroly v různých zeměpisných oblastech pomocí VPN nebo příznaku přepsání geolokace vašeho CMP. Provoz z EU by měl generovat řetězec TCF a spustit gdprEnforcement; provoz z Kalifornie by měl generovat řetězec USP a GPP; provoz z neznámé jurisdikce by měl respektovat vaše nastavení defaultGdprScope.

Shrnutí

Správně nakonfigurovaný zásobník správy souhlasu Prebid dělá tři věci najednou: udržuje vaše uchazeče zásobené platními signály souhlasu (zachovávání CPM), vynucuje pravidla TCF a opt-out v USA na úrovni obalu (snižování regulačního rizika) a dává vám jeden bod auditu, když regulátor ptá, jak vaše nastavení header bidding respektuje volbu uživatele. Věnujte čas záměrnému nastavení časových limitů, povolte GPP vedle USP pro provoz z USA a čtvrtletně přezkoumávejte svůj seznam vendorExceptions — cena za chybu se měří jak pokutami, tak ztrátou programatických příjmů.