Teknologi9. juni 2026 | FlexyConsent

Prebid.js samtykkestyring: Opsætningsguide til header bidding for udgivere

Header bidding løfter udgivernes CPM ved at lade efterspørgselspartnere konkurrere parallelt – men hver af disse partnere har brug for et gyldigt samtykkesignal, før de kan placere en cookie, tage et fingeraftryk eller affyre en pixel. Prebid.js, den de facto open source header bidding-wrapper der bruges af titusindvis af websteder, leveres med et samtykkestyringsmodul, der kobler dit CMP til hver auktion. Konfigurer det forkert, og du enten lækker data uden samtykke (regulatorisk risiko) eller sætter bydere i underskud af det signal, de har brug for (indtægtsrisiko). Denne guide leder udgivere gennem en produktionsklar opsætning.

Hvorfor Prebid.js behøver et samtykkestyringsmodul

Når en Prebid.js-auktion kører, sender wrapperen parallelle anmodninger til alle konfigurerede byder-adaptere. Hver adapter skal inkludere brugerens samtykkekæde i sin budanmodning — tcfeu (TCF v2.2 for EU/UK), usp (CCPA/CPRA) og i stigende grad gpp (IAB Global Privacy Platform-strengen, der dækker flere amerikanske stater). Uden disse signaler er downstream-SSP'er og DSP'er tvunget til enten at behandle brugeren som frameldt, kassere buddet helt eller – i værste fald – behandle data ulovligt.

Prebids samtykkestyringsmodul sidder mellem dit CMP og budanmodningskanalen. Det kalder standard-CMP API'et (__tcfapi, __uspapi, __gppapi), venter på en samtykkekæde og injicerer den derefter automatisk i alle adapteres budanmodningsnyttelast. Det håndhæver også formålsbaseret gatekeeping, når du aktiverer GDPR-håndhævelse, og blokerer lageradsgang og bydereksekvering for brugere, der ikke har givet de relevante TCF-formål.

Installation og konfiguration af kernemodulat

Prebid.js bygges pr. udgiver fra docs.prebid.org/download.html. Når du genererer dit brugerdefinerede build, er tre moduler under «Samtykkestyring» vigtige:

consentManagementTcf — håndterer TCF v2.2-strenge til EU-, UK- og Schweiz-trafik.
consentManagementUsp — håndterer den ældre CCPA/CPRA US Privacy String (stadig krævet af mange DSP'er).
consentManagementGpp — håndterer IAB GPP-strengen, den fremadskuende standard, der nu er obligatorisk hos Google, TTD og større SSP'er.

Inkluder alle tre, hvis du betjener global trafik. Når bygget lander på dit CDN, konfigurerer du modulerne i dit Prebid-opsætningsscript:

TCF v2.2-konfiguration

TCF-blokken fortæller Prebid, hvilket CMP API der skal kaldes, hvor lang tid der skal ventes på en streng, og hvad der skal ske ved timeout. En typisk produktionskonfiguration sætter cmpApi: 'iab', timeout: 8000 (8 sekunder – lang nok til en langsom CMP-banner-indlæsning) og defaultGdprScope: true, så brugere i ukendte jurisdiktioner behandles som inden for omfanget, indtil det modsatte er bevist. Separat opsætning af actionTimeout styrer, hvor længe Prebid venter, når brugeren endnu ikke har interageret med banneret – at holde det moderat undgår et tomt annonceslot, hvis en besøgende ignorerer banneret.

US Privacy og GPP

USP er simpelt: aktiver modulet, og Prebid læser den fire-tegn lange streng fra __uspapi. GPP er mere nuanceret, fordi GPP-strengen kan bære flere sektion-ID'er (TCF EU, US National, US California, US Colorado, US Virginia osv.). Prebid videresender automatisk den fulde streng, men bydere inspicerer specifikke sektioner. Sørg for, at dit CMP udsender de korrekte GPP-sektioner for hver brugers jurisdiktion – en fejlkonfigureret CMP, der kun udsender US National-sektionen til en californisk bruger, vil få CPRA-kompatible DSP'er til at kassere buddet.

Aktivering af GDPR-håndhævelse (formålsbaseret gatekeeping)

Som standard videregiver samtykkemodulet TCF-strengen men blokerer ikke noget. For at få Prebid til faktisk at håndhæve TCF-formål skal du aktivere gdprEnforcement-regelsættet. Det er her, de fleste opsætningsfejl opstår – og her, forskellen mellem en compliant og en ikke-compliant header bidding-stak lever.

Standardregelsættet blokerer fire aktiviteter, når det relevante formål mangler samtykke:

storage — låst bag Formål 1 (lagring og adgang). Når det nægtes, forhindrer Prebid bydere i at læse eller skrive cookies og localStorage.
basicAds — låst bag Formål 2 (grundlæggende annoncer). Når det nægtes, udelukkes byderen helt fra auktionen.
measurement — låst bag Formål 7. Påvirker analytik-adaptere.
transmitPreciseGeo — låst bag Særlig funktion 1. Når det nægtes, fjerner Prebid præcis geolokation fra budanmodninger.

For hver regel sætter du enforcePurpose: true, enforceVendor: true og en liste over vendorExceptions. Listen over leverandørundtagelser er afgørende: enhver byder, du angiver der, har lov til at deltage selv uden eksplicit TCF-leverandørsamtykke, på grundlag af at du har et separat retsgrundlag (f.eks. legitim interesse kombineret med et kontraktmæssigt forløb). Brug dette sparsomt – alt for brede undtagelser er præcis det mønster, regulatorer er begyndt at bøde udgivere for.

Almindelige faldgruber, der koster udgivere indtægter eller compliance

Timeout sat for lavt

Hvis timeout er kortere end dit CMPs banner-renderingstid, fortsætter Prebid uden samtykkekæde. Bydere behandler det som intet samtykke og kasserer buddet. Mål din CMPs tcfapi('addEventListener')-forsinkelse på første kald ved 95. percentil, og sæt Prebid-timeout over den. 8000 ms er et sikkert standard; 3000 ms er risikabelt, hvis du betjener markeder, hvor bannere tager tid at lokalisere.

Manglende GPP-integration på US-trafik

Større SSP'er og DSP'er (Google AdX, TTD, Magnite, PubMatic) kræver nu GPP-strengen til US opt-out-håndhævelse. Hvis du kun udsender den ældre USP-streng, vil disse DSP'er i stigende grad nedgradere eller springe dit lager over. Auditér dine budrespons: et skarpt CPM-fald på US-trafik i 2026 er ofte et manglende GPP-signal.

Forældede samtykkekæder ved SPA-navigation

Single-page apps, der genudløser Prebid-auktioner ved ruteskift, skal kalde pbjs.refreshUserIds() og sikre, at den seneste TCF-streng hentes. En cachet 30-minutters-gammel streng kan bære den forrige brugers præferencer, hvis dit websted bruger delte sessioner.

Manglende vendorExceptions for analytics

Udgivere glemmer ofte, at Prebid Analytics-adaptere (Google Analytics, server-side reporting) også er underlagt measurement-gatekeeping under TCF-formål 7. Hvis du stoler på dem til rapportering af indtægter, skal du eksplicit liste dem under målereglens leverandørundtagelser eller acceptere datagabet på trafik uden samtykke.

Test af din opsætning inden produktion

Prebid.js eksponerer pbjs.getConfig('consentManagement') i browserkonsollen. Verificer, at den aktive konfiguration matcher din hensigt. Brug derefter Chrome-udvidelsen Prebid.js Professor eller pbjs.getEvents() til at inspicere samtykkekæden knyttet til hver budanmodning. Stikprøvekontroller tre scenarier: en fuldt samtykkende bruger, en bruger der klikker «Afvis alle», og en bruger der afviser banneret uden interaktion. Hvert bør producere forskellig observerbar adfærd i budanmodningens nyttelast.

Kør de samme kontroller på tværs af geografi ved hjælp af en VPN eller dit CMPs geolokations-tilsidesættelsesflag. EU-trafik bør producere en TCF-streng og udløse gdprEnforcement; californisk trafik bør producere en USP og en GPP-streng; jurisdiktionelt-ukendt trafik bør respektere din defaultGdprScope-indstilling.

At samle det hele

En korrekt konfigureret Prebid-samtykkestyringsstak gør tre ting på én gang: den holder dine bydere forsynet med gyldige samtykkesignaler (bevarer CPM'er), håndhæver TCF og US opt-out-regler på wrapper-niveau (reducerer regulatorisk eksponering) og giver dig et enkelt revisionspunkt, når en regulator spørger, hvordan din header bidding-opsætning respekterer brugervalg. Tag dig tid til at sætte timeouts med vilje, aktiver GPP sammen med USP til US-trafik, og gennemgå din vendorExceptions-liste kvartalsvis – omkostningerne ved at gøre dette forkert måles i både bøder og tabt programmatisk omsætning.