Richtlinien zur Content Security Policy (CSP)

Wenn Sie die Content Security Policy (CSP) für Ihre Adobe Target-Implementierung verwenden, sollten Sie die folgenden CSP-Anweisungen hinzufügen, wenn Sie at. 2.1 oder höher verwenden:

  • connect-src mit *.tt.omtrdc.net auf der Zulassungsliste. Erforderlich, um die Netzwerkanfrage an das Target-Edge-Netzwerk zuzulassen.
  • style-src unsafe-inline. Erforderlich, um die Flimmerregelung vorab auszublenden.
  • script-src unsafe-inline. Erforderlich, um die Ausführung von JavaScript zu ermöglichen, die Teil eines HTML-Angebots sein kann.

Häufig gestellte Fragen (FAQs)

Wenn Sie Näheres zu Sicherheitsrichtlinien erfahren möchten, lesen Sie die folgenden häufig gestellten Fragen:

Stellen Cross Origin Resource Sharing- (CORS) und Flash Cross-Domain-Richtlinien Sicherheitsprobleme dar?

Die empfohlene Methode zur Implementierung der CORS-Richtlinie besteht darin, den Zugriff nur auf vertrauenswürdige Quellen zu ermöglichen, die den Zugriff über eine Zulassungsliste mit vertrauenswürdigen Domains verlangen. Dasselbe gilt für die Flash Cross-Domain-Richtlinie. Einige Target-Kunden sind besorgt über die Verwendung von Platzhalterzeichen für Domains in Target. Problematisch ist Folgendes: Wenn ein Benutzer bei einer Anwendung angemeldet ist und eine von der Richtlinie zugelassene Domain besucht, können schädliche Inhalte, die in dieser Domain ausgeführt werden, möglicherweise sensible Inhalte aus der Anwendung abrufen und Aktionen im Sicherheitskontext des angemeldeten Benutzers ausführen. Diese Situation wird häufig als Cross-Site Request Forgery (CSRF) bezeichnet.

In einer Target Implementierung stellen diese Richtlinien jedoch kein Sicherheitsproblem dar.

„adobe.tt.omtrdc.net“ ist eine Adobe-eigene Domain. Adobe Target ist ein Test- und Personalisierungs-Tool, und normalerweise kann Target Anfragen von überall empfangen und verarbeiten, ohne dass eine Authentifizierung erforderlich ist. Diese Anfragen enthalten Schlüssel-Wert-Paare, die für A/B-Tests, Empfehlungen oder die Personalisierung von Inhalten verwendet werden.

Adobe speichert keine personenbezogenen oder anderen sensiblen Informationen auf Adobe Target Edge-Servern, auf die "adobe.tt.omtrdc.net“ verweist.

Target kann von jeder Domain über JavaScript-Aufrufe aufgerufen werden. Die einzige Möglichkeit, diesen Zugriff zuzulassen, besteht darin, „Access-Control-Allow-Origin“ mit einem Platzhalter anzuwenden.

Wie kann ich zulassen oder verhindern, dass meine Website als iFrame unter fremden Domains eingebettet wird?

Damit der Visual Experience Composer (VEC) Ihre Website in einen iFrame einbetten kann, muss die CSP (falls festgelegt) in der Webservereinstellung geändert werden. Adobe-Domains müssen auf die Whitelist gesetzt und konfiguriert werden.

Aus Sicherheitsgründen möchten Sie möglicherweise verhindern, dass Ihre Site als iFrame unter fremden Domains eingebettet wird.

In den folgenden Abschnitten wird erläutert, wie Sie das Einbetten Ihrer Site in einen iFrame durch VEC zulassen oder verhindern können.

Zulassen, dass VEC Ihre Site in einen iFrame einbettet

Die einfachste Lösung, mit der VEC Ihre Website in einen iFrame einbetten kann, besteht darin, *.adobe.com zuzulassen, wobei es sich um den breitesten Platzhalter handelt.

Beispiel:

Content-Security-Policy: frame-ancestors 'self' *.adobe.com

Wie in der folgenden Abbildung (zum Vergrößern klicken):

CSP mit dem breitesten Platzhalter {width="600" modal="regular"}

Möglicherweise möchten Sie nur den tatsächlichen Adobe-Service zulassen. Dieses Szenario kann mithilfe von *.experiencecloud.adobe.com + https://experiencecloud.adobe.com erreicht werden.

Beispiel:

Content-Security-Policy: frame-ancestors 'self' https://*.experiencecloud.adobe.com https://experiencecloud.adobe.com https://experience.adobe.com

Wie in der folgenden Abbildung (zum Vergrößern klicken):

CSP mit Experience Cloud-Umfang {width="600" modal="regular"}

Der restriktivste Zugriff auf das Konto eines Unternehmens kann mithilfe von https://<Client Code>.experiencecloud.adobe.com https://experience.adobe.com erzielt werden, wobei <Client Code> Ihren spezifischen Client-Code darstellt.

Beispiel:

Content-Security-Policy: frame-ancestors 'self' https://ags118.experiencecloud.adobe.com https://experience.adobe.com

Wie in der folgenden Abbildung (zum Vergrößern klicken):

CSP mit Clientcode-Bereich {width="600" modal="regular"}

NOTE
Wenn Sie Launch/Tag implementiert haben, muss diese ebenfalls entsperrt werden.
Beispiel:
Content-Security-Policy: frame-ancestors 'self' *.adobe.com *.assets.adobedtm.com;

Verhindern, dass VEC Ihre Site in einen iFrame einbettet

Um zu verhindern, dass VEC Ihre Site in einen iFrame einbettet, können Sie auf „sich selbst“ beschränken.

Beispiel:

Content-Security-Policy: frame-ancestors 'self'

Wie in der folgenden Abbildung dargestellt (zum Vergrößern klicken):

CSP-Fehler {width="600" modal="regular"}

Die folgende Fehlermeldung wird angezeigt:

Refused to frame 'https://kuehl.local/' because an ancestor violates the following Content Security Policy directive: "frame-ancestors 'self'".

recommendation-more-help
6906415f-169c-422b-89d3-7118e147c4e3