Prebid.js Samtyckeshantering: Installationsguide för Header Bidding för Utgivare
Header bidding ökar utgivarnas CPM genom att låta efterfråganpartners tävla parallellt — men var och en av dessa partners behöver en giltig samtyckessignal innan de kan sätta en cookie, ta ett digitalt fingeravtryck eller avfyra en pixel. Prebid.js, den de facto öppen källkod header bidding-omslutaren som används av tiotusentals webbplatser, levereras med en samtyckeshanteringsmodul som kopplar din CMP till varje auktion. Konfigurera fel och du antingen läcker data utan samtycke (regulatorisk risk) eller svälter budgivare på den signal de behöver (intäktsrisk). Den här guiden leder utgivare genom en produktionskvalitetskonfiguration.
Varför Prebid.js Behöver en Samtyckeshanteringsmodul
När en Prebid.js-auktion körs gör omslutaren parallella förfrågningar till varje konfigurerad budgivaradapter. Varje adapter måste inkludera användarens samtyckessträng i sin budförfrågan — tcfeu (TCF v2.2 för EU/UK), usp (CCPA/CPRA) och allt mer gpp (IAB Global Privacy Platform-strängen som täcker flera amerikanska delstater). Utan dessa signaler tvingas nedströmliga SSP:er och DSP:er antingen behandla användaren som avregistrerad, helt avvisa budet eller — i värsta fall — behandla data olagligt.
Prebids samtyckeshanteringsmodul sitter mellan din CMP och budförfråganpipelinen. Den anropar standard-CMP API (__tcfapi, __uspapi, __gppapi), väntar på en samtyckessträng och injicerar sedan automatiskt den i varje adapters budförfrågansnyttolast. Den tillämpar också ändamålsbaserad kontroll när du aktiverar GDPR-tillämpning, blockerar lagringsåtkomst och budgivarexekvering för användare som inte har beviljat relevanta TCF-ändamål.
Installera och Konfigurera Kärnmodulen
Prebid.js byggs per utgivare från docs.prebid.org/download.html. När du genererar ditt anpassade bygge spelar tre moduler under "Samtyckeshantering" roll:
- consentManagementTcf — hanterar TCF v2.2-strängar för EU-, UK- och schweizisk trafik.
- consentManagementUsp — hanterar den äldre CCPA/CPRA US Privacy String (fortfarande krävs av många DSP:er).
- consentManagementGpp — hanterar IAB GPP-strängen, den framåtblickande standarden som nu krävs av Google, TTD och stora SSP:er.
Inkludera alla tre om du servar global trafik. När bygget landar på din CDN, konfigurera modulerna i ditt Prebid-installationsskript:
TCF v2.2-konfiguration
TCF-blocket talar om för Prebid vilket CMP API att anropa, hur länge man ska vänta på en sträng och vad man ska göra vid timeout. En typisk produktionskonfiguration sätter cmpApi: 'iab', timeout: 8000 (8 sekunder — tillräckligt länge för en långsam CMP-bannerladdning) och defaultGdprScope: true så att användare i okända jurisdiktioner behandlas som i omfång tills det bevisas motsatsen. Att ange actionTimeout separat styr hur länge Prebid väntar när användaren ännu inte har interagerat med bannern — att hålla det måttligt undviker en tom annonsplats om en besökare ignorerar bannern.
US Privacy och GPP
USP är enkelt: aktivera modulen och Prebid läser den fyrteckensträngen från __uspapi. GPP är mer nyanserat eftersom GPP-strängen kan bära flera sektions-ID:n (TCF EU, US National, US California, US Colorado, US Virginia osv.). Prebid vidarebefordrar automatiskt hela strängen men budgivare inspekterar specifika sektioner. Se till att din CMP sänder ut de korrekta GPP-sektionerna för varje användares jurisdiktion — en felkonfigurerad CMP som bara sänder ut US National-sektionen till en kalifornisk användare får CPRA-kompatibla DSP:er att kassera budet.
Aktivera GDPR-tillämpning (Ändamålsbaserad Kontroll)
Som standard passerar samtyckesmodulen TCF-strängen igenom men blockerar ingenting. För att Prebid faktiskt ska tillämpa TCF-ändamål, aktivera regeluppsättningen gdprEnforcement. Det är här de flesta installationsmisstag sker — och där skillnaden mellan en kompatibel och icke-kompatibel header bidding-stack finns.
Standardregeluppsättningen blockerar fyra aktiviteter när det relevanta ändamålet saknar samtycke:
- storage — kontrollerat av Ändamål 1 (lagring och åtkomst). När det avvisas hindrar Prebid budgivare från att läsa eller skriva cookies och localStorage.
- basicAds — kontrollerat av Ändamål 2 (grundläggande annonser). När det avvisas utesluts budgivaren helt från auktionen.
- measurement — kontrollerat av Ändamål 7. Påverkar analysadapters.
- transmitPreciseGeo — kontrollerat av Specialfunktion 1. När det avvisas tar Prebid bort precis geolokalisering från budförfrågningar.
För varje regel ställer du in enforcePurpose: true, enforceVendor: true och en lista med vendorExceptions. Listan med leverantörsundantag är kritisk: alla budgivare du listar där tillåts delta även utan uttryckligt TCF-leverantörssamtycke, på grundval att du har en separat rättslig grund (t.ex. berättigat intresse kombinerat med ett avtalsflöde). Använd detta sparsamt — alltför breda undantag är exakt det mönster som tillsynsmyndigheter har börjat bötfälla utgivare för.
Vanliga Fallgropar som Kostar Utgivare Intäkter eller Efterlevnad
Timeout inställd för lågt
Om timeout är kortare än din CMP:s bannerrenderingstid fortsätter Prebid utan samtyckessträng. Budgivare behandlar det som inget-samtycke och avvisar budet. Mät din CMP:s tcfapi('addEventListener') första-anropsfördröjning vid 95:e percentilen och ställ in Prebid-timeoutöverdetta. 8000 ms är ett säkert standardvärde; 3000 ms är riskabelt om du servar marknader där banners tar tid att lokalisera.
Saknas GPP-integration på US-trafik
Stora SSP:er och DSP:er (Google AdX, TTD, Magnite, PubMatic) kräver nu GPP-strängen för amerikanskt opt-out-tillämpning. Om du bara sänder ut den äldre USP-strängen kommer dessa DSP:er allt mer att nedgradera eller hoppa över ditt inventar. Granska dina budsvar: ett kraftigt CPM-fall på US-trafik 2026 är ofta en saknad GPP-signal.
Inaktuella samtyckesträngar vid SPA-navigering
Enkelsidiga appar som återutlöser Prebid-auktioner vid ruttändringar måste anropa pbjs.refreshUserIds() och säkerställa att den senaste TCF-strängen hämtas. En cachad 30 minuter gammal sträng kan bära den tidigare användarens preferenser om din webbplats använder delade sessioner.
Saknas vendorExceptions för analys
Utgivare glömmer ofta att Prebid Analytics-adapters (Google Analytics, serversiderapportering) också är föremål för measurement-kontroll under TCF Ändamål 7. Om du förlitar dig på dessa för intäktsrapportering, lista dem uttryckligen under mätregelns leverantörsundantag eller acceptera datagapet på trafik utan samtycke.
Testa din Installation Före Produktion
Prebid.js exponerar pbjs.getConfig('consentManagement') i webbläsarkonsolen. Verifiera att den aktiva konfigurationen matchar din avsikt. Använd sedan Chrome-tillägget Prebid.js Professor eller pbjs.getEvents() för att inspektera samtyckesträngen kopplad till varje budförfrågan. Kontrollera tre scenarier: en fullt samtyckt användare, en användare som klickade "Avvisa Alla" och en användare som avfärdade bannern utan interaktion. Var och en bör producera ett annat observerbart beteende i budförfrågansnyttolasten.
Kör samma kontroller över geografier med ett VPN eller din CMP:s geolokaliserings-åsidosättningsflagga. EU-trafik bör producera en TCF-sträng och utlösa gdprEnforcement; Kalifornientrafik bör producera en USP och en GPP-sträng; jurisdiktionellt okänd trafik bör respektera din defaultGdprScope-inställning.
Sammanfatta Allt
En korrekt konfigurerad Prebid samtyckeshanteringsstack gör tre saker på en gång: den håller dina budgivare försedda med giltiga samtyckessignaler (bevarar CPM:er), tillämpar TCF och US opt-out-regler på omslutningsnivå (minskar regulatorisk exponering) och ger dig en enda revisionspunkt när en tillsynsmyndighet frågar hur din header bidding-installation respekterar användarvalet. Ta tid att medvetet ställa in timeouts, aktivera GPP bredvid USP för US-trafik och granska din vendorExceptions-lista kvartalsvis — kostnaden för att göra detta fel mäts i både böter och förlorade programmatiska intäkter.