Project-Pro/szkoleniauryzaj.pl
2
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
szkoleniauryzaj.pl/.paul/phases/01-rodo-cookie-consent/01-01-PLAN.md
Jacek Pyziak 100689450b feat(01-rodo-cookie-consent): RODO compliance — Consent Mode v2 + Facebook Pixel blokada 
Phase 1 complete:
- fbq noop na wp_head priority 1 — blokuje Facebook Pixel ze wszystkich źródeł (HFCM, PYS, woo-product-feed-pro) gdy brak zgody marketingowej
- Early gtag consent update PHP-side dla powracających użytkowników — eliminuje race condition z GTM
- Granularne filtry pys_disable_*_by_gdpr — PixelYourSite honoruje kategorie marketing/analytics
- Fix: wp_unslash() przy odczycie $_COOKIE (WP wp_magic_quotes addslashes)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-27 00:46:41 +02:00

270 lines
12 KiB
Markdown
Raw Permalink Blame History

---
phase: 01-rodo-cookie-consent
plan: 01
type: execute
wave: 1
depends_on: []
files_modified:
- wp-content/themes/body-relax/functions.php
autonomous: false
delegation: off
---
<objective>
## Goal
Dokończyć integrację RODO: zablokować PixelYourSite (Facebook Pixel) gdy brak zgody oraz naprawić scenariusz powracającego użytkownika w Consent Mode v2.
## Purpose
Audyt kodu wykazał:
- `cookies.php` (Divi `header.php` linia 4, przed `wp_head()`) już ustawia Consent Mode v2 defaults (all denied) — AC-4 jest spełnione ✅
- `googleConsentModeHandler()` w JS aktualizuje consent po `window.load` — działa dla nowych użytkowników ✅
- **Problem 1:** dla powracających użytkowników (mają cookie `cnp_consent=true`) GTM czeka maks. 500ms (`wait_for_update`), a consent update przychodzi z JS po załadowaniu strony — ryzyko race condition na wolnych połączeniach ⚠️
- **Problem 2:** PixelYourSite ładuje Facebook Pixel server-side (PHP), niezależnie od cookies zgody — nie honoruje `cnp_consent`
Cookies ustawiane przez Cookie Notice Pro (Flerosoft jQuery plugin w `Divi/libs/CookieNoticePro/`):
- `cnp_consent` = `"true"` (akceptacja) lub `"false"` (odmowa)
- `cnp_prefs` = JSON URL-encoded, np. `["necessary","marketing","analytics"]`
## Output
`wp-content/themes/body-relax/functions.php` — dodane dwie funkcje:
1. Early consent update (wp_head priority 1) — PHP odczytuje `cnp_consent`/`cnp_prefs`, wywołuje `gtag('consent', 'update', ...)` przed snippetem GTM — eliminuje race condition
2. PixelYourSite GDPR filter — granularnie blokuje pixele na podstawie kategorii zgody
</objective>
<context>
## Project Context
@.paul/PROJECT.md
## Source Files
@wp-content/themes/body-relax/functions.php
@wp-content/themes/Divi/libs/CookieNoticePro/cookies.php
@wp-content/themes/Divi/libs/CookieNoticePro/cookienoticepro.script.js
@wp-content/themes/Divi/header.php
@wp-content/plugins/pixelyoursite/includes/class-events-manager.php
@wp-content/plugins/pixelyoursite/includes/functions-gdpr.php
</context>
<acceptance_criteria>
## AC-1: Powracający użytkownik — brak race condition w Consent Mode
```gherkin
Given użytkownik ma cookie cnp_consent="true" i cnp_prefs zawierający "marketing","analytics"
When strona się ładuje
Then w <head> PRZED snippetem GTM pojawia się gtag('consent', 'update', {all: 'granted'})
And GTM tagi śledzące mogą się uruchomić od razu (nie czekają na JS po window.load)
```
## AC-2: Granularna blokada PixelYourSite
```gherkin
Given brak cookie cnp_consent lub cnp_consent="false"
When PHP renderuje stronę
Then PixelYourSite nie wstrzykuje kodu Facebook Pixel (fbq) na stronie
```
## AC-3: Kategorie zgody honorowane przez PixelYourSite
```gherkin
Given cnp_consent="true" ale cnp_prefs NIE zawiera "marketing"
When PHP renderuje stronę
Then Facebook Pixel jest zablokowany (brak kategorii marketing)
And jeśli cnp_prefs zawiera "analytics" pixele analityczne działają
```
## AC-4: Consent Mode v2 defaults — już działa, nie psuć
```gherkin
Given cookies.php jest includowany w header.php linia 4 (przed wp_head)
When strona się ładuje
Then gtag('consent', 'default', {all: 'denied'}) jest ustawione przed GTM NIE ZMIENIAJ tego mechanizmu
```
</acceptance_criteria>
<tasks>
<task type="auto">
<name>Task 1: Early consent update dla powracających użytkowników</name>
<files>wp-content/themes/body-relax/functions.php</files>
<action>
Dodaj na końcu pliku funkcję hookowaną do `wp_head` z priorytetem 1.
Cel: gdy użytkownik ma już cookie `cnp_consent=true`, PHP odczytuje je server-side
i wstrzykuje `gtag('consent', 'update', ...)` PRZED snippetem GTM (GTM enqueuje się
przez wp_head, który odpala hooki w kolejności priorytetów — nasz priority 1 jest pierwszy).
Dla nowych użytkowników (brak cookie) — funkcja nic nie robi, defaults z cookies.php wystarczą.
```php
add_action( 'wp_head', 'szkolenia_consent_early_update', 1 );
function szkolenia_consent_early_update() {
$consent = isset( $_COOKIE['cnp_consent'] ) ? $_COOKIE['cnp_consent'] : '';
if ( $consent !== 'true' ) {
return; // Nowy użytkownik lub odmowa — defaults z cookies.php wystarczą
}
$prefs = [];
if ( isset( $_COOKIE['cnp_prefs'] ) ) {
$decoded = json_decode( urldecode( $_COOKIE['cnp_prefs'] ), true );
if ( is_array( $decoded ) ) {
$prefs = $decoded;
}
}
$analytics = in_array( 'analytics', $prefs ) ? 'granted' : 'denied';
$marketing = in_array( 'marketing', $prefs ) ? 'granted' : 'denied';
?>
<script>
// Early consent update — powracający użytkownik (server-side cookie check)
window.dataLayer = window.dataLayer || [];
if (typeof gtag !== 'function') { function gtag(){dataLayer.push(arguments);} }
gtag('consent', 'update', {
'analytics_storage': '<?php echo esc_js( $analytics ); ?>',
'ad_storage': '<?php echo esc_js( $marketing ); ?>',
'ad_user_data': '<?php echo esc_js( $marketing ); ?>',
'ad_personalization': '<?php echo esc_js( $marketing ); ?>'
});
</script>
<?php
}
```
UWAGA: `cookies.php` (z Divi) już definiuje `dataLayer` i `gtag` — `if (typeof gtag !== 'function')` jest zabezpieczeniem na wypadek gdyby kolejność kiedyś się zmieniła. Nie usuwaj.
UWAGA: Nie modyfikuj `cookies.php` ani żadnego pliku w `wp-content/themes/Divi/` ani `wp-content/plugins/`.
UWAGA: Dodaj na końcu pliku, za istniejącym kodem.
</action>
<verify>
1. `php -l wp-content/themes/body-relax/functions.php` — brak błędów
2. W przeglądarce z cookie `cnp_consent=true` (ustaw ręcznie w DevTools): DevTools → Elements → `<head>` — szukaj `gtag('consent', 'update'` — powinno być PRZED skryptem GTM
3. W przeglądarce bez cookie: brak `gtag('consent', 'update'` w źródle — tylko `gtag('consent', 'default'` z cookies.php
</verify>
<done>AC-1 spełnione: early consent update dla powracających użytkowników</done>
</task>
<task type="auto">
<name>Task 2: PixelYourSite GDPR filter z granularnymi kategoriami</name>
<files>wp-content/themes/body-relax/functions.php</files>
<action>
Dodaj po Task 1 granularne filtry WordPress dla PixelYourSite.
PixelYourSite używa filtrów:
- `pys_disable_by_gdpr` — blokuje WSZYSTKIE pixele (zwróć true = zablokuj)
- `pys_disable_facebook_by_gdpr` — tylko Facebook Pixel
- `pys_disable_analytics_by_gdpr` — tylko Google Analytics
- `pys_disable_bing_by_gdpr` — tylko Microsoft/Bing Ads
Mapowanie kategorii Cookie Notice Pro → typy pikseli:
- "marketing" → Facebook Pixel, Bing Ads
- "analytics" → Google Analytics
```php
add_filter( 'pys_disable_facebook_by_gdpr', 'szkolenia_pys_marketing_consent' );
add_filter( 'pys_disable_bing_by_gdpr', 'szkolenia_pys_marketing_consent' );
function szkolenia_pys_marketing_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'marketing' );
}
add_filter( 'pys_disable_analytics_by_gdpr', 'szkolenia_pys_analytics_consent' );
add_filter( 'pys_disable_google_ads_by_gdpr', 'szkolenia_pys_marketing_consent' );
function szkolenia_pys_analytics_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'analytics' );
}
function szkolenia_cnp_has_preference( $type ) {
if ( ! isset( $_COOKIE['cnp_consent'] ) || $_COOKIE['cnp_consent'] !== 'true' ) {
return false;
}
if ( ! isset( $_COOKIE['cnp_prefs'] ) ) {
return false;
}
$prefs = json_decode( urldecode( $_COOKIE['cnp_prefs'] ), true );
return is_array( $prefs ) && in_array( $type, $prefs, true );
}
```
UWAGA: Filtry `pys_disable_*_by_gdpr` zwracają `true` = zablokuj, `false` = pozwól.
UWAGA: `szkolenia_cnp_has_preference` jest funkcją pomocniczą — zdefiniuj ją tylko raz.
UWAGA: Nie dodawaj `pys_disable_by_gdpr` (globalnego) — granularne filtry są bardziej precyzyjne i nie zablokują Pinterest jeśli będzie potrzebny.
</action>
<verify>
1. `php -l wp-content/themes/body-relax/functions.php` — brak błędów
2. Tryb incognito (brak cookies): DevTools → Elements → Ctrl+F szukaj `fbq(` — NIE powinno być w źródle
3. Z cookie `cnp_consent=true` i `cnp_prefs=["necessary","marketing","analytics"]` (URL-encoded, ustaw w DevTools): `fbq(` powinno być widoczne w źródle
4. Z cookie `cnp_consent=true` i `cnp_prefs=["necessary","analytics"]` (bez marketing): `fbq(` NIE powinno być (marketing zablokowany)
</verify>
<done>AC-2 i AC-3 spełnione: PixelYourSite honoruje kategorię "marketing" i "analytics"</done>
</task>
<task type="checkpoint:human-verify" gate="blocking">
<what-built>
Dwie funkcje w `wp-content/themes/body-relax/functions.php`:
1. `szkolenia_consent_early_update()` — PHP early gtag update dla powracających użytkowników
2. `szkolenia_pys_*_consent` filtry — granularna blokada PixelYourSite
</what-built>
<how-to-verify>
**Test A — Nowy użytkownik (brak zgody):**
1. Otwórz stronę w trybie incognito
2. DevTools → Network: BRAK requestów do `facebook.com/tr`
3. DevTools → Elements → `<head>`: widoczny `gtag('consent', 'default', {...denied...})` z cookies.php, brak `gtag('consent', 'update', ...)`
4. DevTools → Elements: brak `fbq(` w kodzie strony
**Test B — Powracający użytkownik (pełna zgoda):**
1. DevTools → Application → Cookies → dodaj:
- `cnp_consent` = `true`
- `cnp_prefs` = `%5B%22necessary%22%2C%22preferences%22%2C%22marketing%22%2C%22analytics%22%5D`
2. Odśwież stronę (NIE incognito)
3. DevTools → Elements → `<head>`: widoczny `gtag('consent', 'update', {all: 'granted'})` PRZED snippetem GTM
4. DevTools → Elements: widoczny `fbq(` w kodzie strony
**Test C — Użytkownik zaakceptował tylko analitykę (bez marketingu):**
1. Ustaw cookies: `cnp_consent=true`, `cnp_prefs=%5B%22necessary%22%2C%22analytics%22%5D`
2. Odśwież
3. DevTools → Elements: BRAK `fbq(` (Facebook zablokowany bo brak "marketing")
4. `gtag('consent', 'update', {...})`: `analytics_storage: 'granted'`, `ad_storage: 'denied'`
**Test D — Kliknięcie "Akceptuj" w banerze:**
1. Wyczyść cookies, odśwież stronę incognito — baner powinien się pojawić
2. Kliknij "Akceptuj"
3. Odśwież stronę — cookie `cnp_consent=true` powinno być ustawione
4. Network tab: widoczne requesty Facebook Pixel
</how-to-verify>
<resume-signal>Wpisz "approved" jeśli wszystkie testy przeszły, lub opisz co nie działa</resume-signal>
</task>
</tasks>
<boundaries>
## DO NOT CHANGE
- wp-content/themes/Divi/* (w tym `libs/CookieNoticePro/cookies.php`, `header.php`) — Consent Mode v2 defaults już działają
- wp-content/plugins/* (żadne pliki wtyczek)
- wp-content/themes/body-relax/style.css
- wp-content/themes/body-relax/divi-children-engine/*
## SCOPE LIMITS
- Ten plan NIE konfiguruje GTM kontenera (tagi/triggery consent-aware) — osobna praca w GTM UI
- Ten plan NIE zmienia konfiguracji Cookie Notice Pro (config w cookienoticepro.script.js)
- Nie obsługuj Pinterest (`pys_disable_pinterest_by_gdpr`) — brak przesłanek że jest używany
- Nie dodawaj error handling dla scenariuszy niemożliwych
</boundaries>
<verification>
Przed oznaczeniem planu jako ukończony:
- [ ] `php -l wp-content/themes/body-relax/functions.php` — brak błędów
- [ ] Tryb incognito: brak `fbq(` i brak consent update w HTML
- [ ] Cookie cnp_consent=true + prefs z marketing: `fbq(` w HTML i gtag update granted
- [ ] Cookie cnp_consent=true + prefs BEZ marketing: brak `fbq(`
- [ ] Checkpoint human-verify zaakceptowany
</verification>
<success_criteria>
- Wszystkie 3 AC spełnione (AC-4 był już OK przed planem)
- Weryfikacja manualna przeszła (checkpoint approved)
- Brak błędów PHP
- Strona renderuje się normalnie, baner cookies działa
</success_criteria>
<output>
Po ukończeniu utwórz `.paul/phases/01-rodo-cookie-consent/01-01-SUMMARY.md`
</output>
Reference in New Issue View Git Blame Copy Permalink