Inhaltssicherheitsrichtlinien und der Experience Cloud Identity Service content-security-policies-and-the-experience-cloud-id-service

Eine Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) ist eine HTTP-Header- und Sicherheitsfunktion, mit der Browser steuern können, welche Ressourcen auf einer Webseite geladen werden. Lesen Sie diesen Abschnitt, wenn Sie den ID-Dienst verwenden und über strenge CSPs verfügen, die Whitelists verwenden, um Ressourcen aus vertrauenswürdigen Domänen zu akzeptieren. Sie müssen die hier aufgeführten Adobe-Domänen zu Ihren CSP-Whitelists hinzufügen.

CSP-Übersicht section-5fde5c00a678455c914b8307a8caab82

CSPs verwenden den HTTP-Header Content-Security-Policy, um die Art der Ressourcen zu steuern, die ein Browser zulässt oder die auf einer Seite geladen werden. Durch die Anwendung eines CSP können Sie Folgendes verhindern:

  • Das Laden von JavaScript-Dateien, wenn die Quelle unbekannt oder nicht in einer Whitelist enthalten ist.
  • Cross-Site-Scripting-(XXS-) Angriffe.
  • Angriffe durch Dateninjektion.
  • Angriffe durch Site-Verunstaltung.
  • Malware-Verteilung.

Die Verwendung von CSPs ist üblich und gut verstanden. Es ist nicht der Zweck dieser Dokumentation, CSPs im Detail zu erläutern (weitere Informationen finden Sie unter den entsprechenden Links weiter unten). Wichtig ist, dass Sie wissen, welche Adobe-Domänennamen Sie zu einem CSP hinzufügen sollten, wenn Sie diese verwenden und strenge Sicherheitsrichtlinien haben. Durch das Hinzufügen dieser Domänen können Besucher-Browser, die auf Ihre Website zugreifen, die von Ihnen verwendeten Experience Cloud-Ressourcen aufrufen.

Experience Cloud-Domänen für Whitelists section-30693e9a96834edfbf04de9e698cf2aa

Fügen Sie diese Domainnamen oder URLs für die von Ihnen verwendeten aufgelisteten Experience Cloud-Lösungen und -Dienste zu Ihrem CSP hinzu.

Experience Cloud-Lösung oder -Service
Beschreibung
AppMeasurement

Nehmen Sie Folgendes in Ihre CSP auf:

  • *.2o7.net
  • *.omtrdc.net
Target
Nehmen Sie *.tt.omtrdc.net in Ihre CSP auf.
Experience Cloud ID-Dienst und Audience Manager

Nehmen Sie die folgenden Domänen in Ihre CSP auf.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Wenn Sie Tags mit Adobe Launch bereitstellen, müssen Sie der Liste der Domänen auch https://assets.adobedtm.com hinzufügen.

Aufrufe der Domain demdex.net werden zur Generierung der Cookies und des Experience Cloud Identity Services sowie zur ID-Synchronisation verwendet. Siehe auch Aufrufe an die Domain „demdex.net“.

Activity Map-Plugin
Nehmen Sie *.adobe.com in Ihre CSP auf. **Hinweis**: Wenn Activity Map bereits vor Januar 2020 installiert wurde, wird im Browser weiterhin zuerst eine Anfrage an *.omniture.com angezeigt, die jedoch an *.adobe.com weitergeleitet wird.
Advertising Analytics
Wenn Sie über Steuerelemente für Abfragezeichenfolge-Parameter verfügen, nehmen Sie die Parameter „s_kwcid“ und „ef_id“ in die Whilist auf. Technisch gesehen verwendet Advertising Analytics nur „s_kwcid“, wenn Sie aber Ad Cloud Search oder DSP abrufen, wird auch „ef_id“ verwendet. Diese Abfragezeichenfolge-Parameter sind alphanumerisch. Der Parameter „s_kwcid“ verwendet das Zeichen „!“ und der Parameter „ef_id“ verwendet das Zeichen „:“. Wenn das Zeichen „!“ in der URL gesperrt ist, müssen Sie auch dieses in die Whitelist aufnehmen.
recommendation-more-help
9c9e8ca9-9f7e-42c9-a5d5-a0d82776362a