PostHog Ürün Analitiği Çerez Onayı Entegrasyon Kılavuzu: 2026 İçin Self-Hosted ve Cloud Dağıtım Kitabı
PostHog, beş satıcıyı birbirine bağlamak yerine tek bir yığında ürün analitiği, oturum tekrarı, özellik bayrakları, deneyim, anketler ve web analitiği isteyen mühendislik ekiplerinin tercih ettiği ürün analitiği platformudur. Bu paketleme, değer önerisidir. Ayrıca varsayılan bir PostHog dağıtımının neredeyse bir yayıncının yükleyeceği diğer herhangi bir araçtan daha yoğunlaştırılmış onay yükümlülükleri taşımasının nedenidir. Ürün olaylarını yakalayan aynı posthog.init() çağrısı oturumları kaydetmeye başlayabilir, özellik bayraklarını kalıcı bir tanımlayıcıya göre değerlendirebilir ve anket gösterimlerini sıraya koyabilir — ve bu etkinliklerin her biri GDPR, ePrivacy ve CCPA kapsamında farklı bir yasal dayanak gerektirir. İyi haber şu ki PostHog, analitik ekosistemindeki en ayrıntılı onay API'lerinden biriyle geliyor; iş onu gerçekten kullanmakta. Bu kılavuz, hem self-hosted kurulumlar hem de PostHog Cloud, hem ABD hem de AB bölgelerinde ve analitik, tekrar, bayraklar ve anketlerin tam yüzeyinde yasal durumun teknik gerçeklikle eşleşmesi için PostHog'un nasıl dağıtılacağını açıklıyor.
PostHog neden onay gerektiriyor — ve yanıt her modül için neden aynı değil
PostHog'un web SDK'sı pasif bir sayfa etiketi değildir. Varsayılan başlatmada SDK, bir veya daha fazla birinci taraf kalıcılık girişi ayarlar — varsayılan olarak ph_{projectKey}_posthog altında anahtarlanan birleşik bir çerez artı localStorage şeması — kararlı bir farklı tanımlayıcı oluşturur, yönlendirici, UTM parametreleri ve tıklama tanımlayıcılarıyla birlikte ilk sayfa görüntülemesini yakalar ve yapılandırılmış alım ana bilgisayarına uzun ömürlü bir olay kanalı açar. Oturum tekrarı proje düzeyinde etkinleştirilmişse SDK ayrıca işlenmiş DOM'un, fare koordinatlarının ve giriş olaylarının sürekli bir kaydını akıtmaya başlar. Özellik bayrakları yapılandırılmışsa SDK bunları farklı tanımlayıcıya göre değerlendirir, kararları oturum için kalıcı hale getirir ve her değerlendirme için bir $feature_flag_called olayı yayar.
Bu etkinliklerin her biri farklı bir onay geçidine karşılık gelir. Farklı bir tanımlayıcının kalıcı hale getirilmesi, ePrivacy Direktifinin 5(3). Maddesi kapsamında bir depolama ve erişim işlemidir ve EEA, Birleşik Krallık ve aynı standardı benimsemiş herhangi bir yargı bölgesinde önceden, özgürce verilmiş, belirli, bilgilendirilmiş ve açık bir onay gerektirir. Davranışsal olayların yakalanması, tanımlayıcı, IP adresi ve davranışsal izin kombinasyonu bir bireyi tanımlamaya yeteceğinden GDPR kapsamında kişisel verilerin işlenmesidir. Oturum tekrarı, EDPB'nin oturum tekrarı rehberliği kapsamında ayrı, daha katı bir kategoriye girer — tekrar, işlenmiş DOM'u ve maskelenmemiş giriş alanlarını yakalar ve genel analitik onayından farklı, açık ve ayrıntılı onay gerektirir. Özellik bayrağı değerlendirmesi ince olandır: boolean döndüren bir bayrak kontrolü onayın kendisini gerektirmez, ancak kullanıcının bayrak atamasını oturumlar genelinde kararlı bir tanımlayıcıya kalıcı hale getirmek gerektirir, çünkü bayrak tabanlı deneyim izlenebilir kullanıcı düzeyinde veriler oluşturduğunda bu böyledir.
PostHog onaydan önce ne yazar — ve ne bastırılmalıdır
Varsayılan PostHog Browser SDK başlatmada şunları yazar: farklı tanımlayıcıyı, oturum tanımlayıcısını ve özellik bayrağı kararlarını içeren ph_{projectKey}_posthog altında bir birleşik çerez ve localStorage girişi, artı oturum tekrarı etkinleştirildiğinde her birkaç saniyede bir alım uç noktasına boşaltan ek bir bellek içi kayıt tamponu. SDK ayrıca anında bir $pageview olayı ve otomatik yakalama açıksa sayfadaki her sonraki tıklama, form etkileşimi ve öfkeli tıklama gönderir.
Önerilen model, PostHog'u opt_out_capturing_by_default: true ve disable_session_recording: true ile başlatmak, ardından onay banner'ı olumlu bir sinyal döndürdüğünde her iki bayrağı da çevirmektir. Bu, PostHog belgelerinin şimdi önerdiği entegrasyon tutumudur ve düzenleyicinin incelemesinden sağ çıkan tutumudur çünkü varsayılanı tersine çevirir: onay kaydedilene kadar hiçbir şey yakalanmaz ve SDK durumlu bir yeniden yapılandırma yerine temiz bir geçiş sağlar.
PostHog'un kalıcı hale getirdiği çerezler, localStorage girişleri ve tanımlayıcılar
Browser SDK 1.x, ph_{projectKey}_posthog altında anahtarlanan, varsayılan olarak 365 günlük sona erme süresiyle proje başına bir kalıcılık girişi yazar. persistence başlatma seçeneği temel mekanizmayı kontrol eder: yalnızca cookie, yalnızca localStorage, localStorage+cookie (varsayılan), sessionStorage veya memory. Önce onay olan bir dağıtım için, onay henüz verilmediğinde doğru varsayılan memory kalıcılığıdır — hiçbir tanımlayıcının sayfa oturumundan daha uzun yaşamamasını sağlar — onay değiştiğinde localStorage+cookie'ye geçiş yapılır. SDK ayrıca kullanıcının tercihini ziyaretler arasında hatırlamak için __ph_opt_in_out_{projectKey} altında bir opt-in veya opt-out işaretçisi yazar; bu işaretçinin kendisi kesinlikle gerekli bir çerektir çünkü bir onay kararını kalıcı hale getirir.
PostHog modüllerini onay çerçevelerine eşleme
PostHog, IAB TCF'yi veya IAB Global Privacy Platform'u yerel olarak uygulamaz ve bir reklam teknolojisi satıcısı olarak inşa edilmemiştir. Bununla birlikte, yayıncı tarafı köprüleme aracılığıyla Google Onay Modu v2 ile entegre olur, yerel bir opt-in ve opt-out API'si sunar ve respect_dnt başlatma seçeneği aracılığıyla Do Not Track başlığına saygı gösterir. Üretimde çalışan model, her PostHog modülünü belirli bir CMP sinyaline bağlı ayrı bir geçit olarak ele alır.
- Ürün analitiği olayları, analitik amacına bağlıdır. TCF terimleriyle bu en yaygın olarak amaç 8 (içerik performansını ölçmek) ile amaç 1'in (bilgi depolamak ve/veya erişmek) birleşimidir. Onay Modu için bu analytics_storage'a karşılık gelir.
- Oturum tekrarı daha katı bir geçidin arkasında yer alır. PostHog'un oturum tekrarı işlenmiş DOM'u ve maskelenmemiş giriş alanlarını yakalar, bu nedenle analitiğin ayrı olduğu tercihler düzeyinde veya araştırma düzeyinde opt-in, EDPB'nin rehberliği kapsamında savunulabilir tutumudur.
- Özellik bayrakları ve deneyim, hedef yalnızca işlenmiş sayfayı değiştirmekken meşru çıkar tabanı kapsamında geçici, bellek içi değerlendirmeyle çalışabilir. Oturumlar genelinde kararlı bir tanımlayıcıya bağlı kalıcı bayrak ataması, analitiğiyle aynı onayı gerektirir, çünkü bayrak izlenebilir bir kullanıcı düzeyinde veri noktasına dönüştüğünde böyledir.
- Anketler ve geri bildirimler, serbest metin girişi topladıklarında oturum tekrarıyla aynı geçide; yalnızca derecelendirme veya tek seçimli yanıtlar topladıklarında analitik geçidine bağlıdır.
Çalışan entegrasyon modeli
Referans dağıtımın dört bölümü vardır: gerçek zamanlı onay değişikliği olayı sunan bir CMP, yakalama ve tekrar devre dışıyken PostHog'u başlatan ertelenmiş bir bootstrap, ilgili geçitler açıldığında opt_in_capturing'i ve kayıt anahtarını çeviren bir onay dinleyicisi ve opt_out_capturing'i çağıran, tekrar tamponunu durduran ve SDK'nın sıfırlama API'si aracılığıyla kalıcı tanımlayıcıları temizleyen bir geri çekme yolu.
Web uygulaması
En temiz model, her sayfada PostHog SDK'sını yüklemek ancak başlangıç bootstrap olarak posthog.init(apiKey, { api_host: 'https://eu.posthog.com', opt_out_capturing_by_default: true, disable_session_recording: true, persistence: 'memory', respect_dnt: true }) çağırmaktır. CMP'nin onay değişikliği olayına abone olun. Analitik kategorisi true'ya geçtiğinde, posthog.set_config({ persistence: 'localStorage+cookie' })'yi ardından posthog.opt_in_capturing()'i çağırın; bu olay yakalamayı yeniden etkinleştirir ve kalıcılık geçişi farklı tanımlayıcıyı yazmaya başlar. Oturum tekrarı kategorisi true'ya geçtiğinde posthog.startSessionRecording()'i çağırın. Herhangi bir geçit geri çekildiğinde, analitik geçidi için posthog.opt_out_capturing()'i veya tekrar geçidi için posthog.stopSessionRecording()'i çağırın, posthog.reset() aracılığıyla ilgili kalıcılık girişlerini sona erdirin ve kullanıcı silme hakkını kullanmışsa PostHog'un GDPR API'si aracılığıyla bir silme isteği gönderin.
Bölge seçimi: PostHog Cloud ABD'ye karşı AB'ye karşı self-hosted
PostHog iki bulut bölgesinde çalışır — ABD (us.posthog.com) ve AB (eu.posthog.com) — ve müşterinin kendi altyapısında self-hosted kurulumları destekler. EEA ve Birleşik Krallık trafiği için AB bulutu doğru varsayılandır; alımı, işlemeyi ve depolamayı EEA içinde tutar ve herhangi bir ABD bölgesi analitik dağıtımının taşıdığı Schrems II maruziyetini azaltır. api_host başlatma seçeneği bölgeyi sabitler. Self-hosted PostHog, tüm yığını yayıncının kendi altyapısına taşır; bu en güçlü veri ikamet tutumudur ancak onay yükümlülüklerini ortadan kaldırmaz — yasal dayanak veriyi takip eder, operatörü değil. Hangi seçenek seçilirse seçilsin, gizlilik bildiriminde ve denetleyicinin işleme kaydında yansıtılmalıdır.
Sunucu tarafı yakalama
PostHog, Python, Node, Go, Ruby ve PHP SDK'ları aracılığıyla sunucu tarafı olay alımını destekler. Sunucu tarafı olayları onaydan muaf değildir — yasal dayanak veriyi takip eder — ancak sunucu tarafı alım, yayıncıya hangi alanların ne zaman yayıldığı üzerinde tam kontrol sağlar. Yaygın bir model, meşru çıkar kapsamında sunucu tarafında minimum bir yalnızca temel olay kümesi yakalamak, ardından bu olayları yalnızca kullanıcı analitik onayı verdikten sonra istemciden davranışsal ayrıntılarla zenginleştirmektir. Sunucu tarafı ve istemci tarafı olayları, onay değiştiğinde aynı farklı tanımlayıcıda birleşir; onaydan önce, sunucu tarafı olaylar her oturumda sıfırlanan anonim, geçici bir tanımlayıcıyla yayılır.
Entegrasyonun doğrulanması ve denetim izi
Doğrulama adımı, düzenleyicilerin kontrol ettiği ve yayıncıların en sık atladığı şeydir. Doğru entegre edilmiş bir PostHog dağıtımı sırayla dört testten geçmelidir. Birincisi, banner gösterilmiş ancak seçim yapılmamış temiz bir tarayıcı oturumu, SDK dosyası alımının ötesinde yapılandırılmış api_host'a sıfır istek, document.cookie'de sıfır ph_ çerezi ve localStorage'da sıfır ph_ girişi üretmelidir. İkincisi, analitiği reddetmek bu durumu korumalıdır — yakalama yok, kayıt yok, kalıcı tanımlayıcı yok. Üçüncüsü, analitiği kabul etmek anında bir $opt_in olayı, doğru SameSite nitelikleriyle beklenen ph_{projectKey}_posthog kalıcılık girişi ve yapılandırılmış ana bilgisayara akan olay trafiği üretmelidir. Dördüncüsü, onayı sonradan geri çekmek, daha fazla yakalamayı ve tekrarı derhal durdurmalı, kalıcı tanımlayıcıları sona erdirmeli ve kullanıcı silmeyi talep ettiyse PostHog'un GDPR API'si aracılığıyla bir silme isteği tetiklemeli.
EDPB'nin 2023 çerez banner rehberleri ve yenilenen 2026 görev gücü öncelikleri kapsamındaki denetim izi beklentisi, yayıncının PostHog projesindeki herhangi bir olay için bu olayı oluşturan kullanıcının yakalama anında geçerli onay verdiğini kanıtlayabilmesidir. Standart model, herhangi bir bireysel olayın belirli bir onay günlüğü girişine kadar izlenebilmesi için posthog.setPersonProperties({ consent_version: 'v3', consent_ts: ts }) aracılığıyla farklı ID'de onay sürümünü ve zaman damgasını kişi özellikleri olarak ayarlamaktır. İzleyici kitleyle eşleşen bölge seçimiyle, varsayılanın bellek olduğu kalıcılıkla ve geri çekilmede etkinleştirilen bir silme yoluyla eşleştirilen doğru geçitlenmiş bir dağıtım, PostHog'u düzenleyici konsantrasyon riskinden ürün analitik yığınının savunulabilir merkezine dönüştüren şeydir.