- 标记概述
- 快速入门
- UI指南
- 发布
- 客户端信息
- 事件转发
- 管理
- 扩展
- 概述
- 标记扩展(客户端)
- 概述
- 可访问的网站速度量度
- Activity Map定制器
- 操作页面刷新
- Adform网站跟踪
- Adobe Advertising Cloud
- Adobe Analytics
- Adobe Analytics和Adobe Target
- Adobe Analytics和Microsoft Dynamics
- Adobe Analytics和Salesforce
- Adobe Analytics产品字符串
- Adobe Analytics Product String Builder
- 通过Adobe Experience Platform Web SDK访问Adobe Analytics
- Adobe Audience Manager
- Adobe 客户端数据层
- AdobeContextHub
- Adobe Experience Manager Forms
- Adobe Experience Cloud ID 服务
- Adobe Experience Platform演示
- Adobe Experience Platform Web SDK
- Adobe Experience Manager资产分析
- Adobe Fonts
- Adobe Medium Analytics for Audio and Video
- Adobe Medium分析(3.x SDK)
- Adobe隐私
- Adobe报表包选择器
- Adobe Target
- Adobe Target v2
- Adobe Target Toolkit
- Advertising Cloud
- AEM资产分析
- Airbrake JS通告程序
- 振幅
- 阿波罗QAX
- Awin广告商主标签
- Awin转换标记
- Beemray Human Context
- Bing Ads通用事件跟踪
- Branch
- BrightCove 视频跟踪
- CallTrackingMetrics
- 渠道源标识符
- Cheetah体验
- Clicktale
- 常用Analytics插件
- 常用Web SDK插件
- Concat
- ContentSquare
- 由Usercentrics CMP v2进行的Cookie同意管理
- 核心
- 自定义调试记录器
- 客户认可
- 数据元素助手(DEA)
- 数据层管理器
- 分贝
- Demandbase
- 差分隐私
- Dynamic Media 查看器
- EDDL帮助程序
- Flashtalking OneTag
- ForeSee
- Gainsight PX
- Genesys Predictive Engagement
- Google Data Layer
- Google全局站点标记(gtag)
- InMoment
- JSON帮助程序
- JW播放器分析
- KickFire
- 映射表
- Marketo Munchkin
- 主控属性管理器
- Meta Pixel
- Monita
- Nielsen Digital SDK
- OneTrust Consent Management for Cookie
- 辣椒酱
- Persado Connect
- pinterest转化跟踪
- 像素加载器
- Qualtrics网站反馈
- 量子量度
- 解决动量
- Rokt
- SDI调查
- SDI工具包
- SessionCam
- SPA视图更改事件
- 存储扳手
- 按循环水平线划分的标记
- 茶叶收集
- Tealium数据扩充
- TMMData基础平台
- TrustArc Cookie同意管理器
- Vimeo Playback
- Web虚拟
- XDM编辑器
- Yahoo Dot
- Yext转化跟踪
- Youtube 播放
- YouTube 视频跟踪
- 事件转发扩展(服务器端)
- 扩展开发
- Reactor API
- 常见问题解答
- 术语更新
- 弃用对Internet Explorer 10和11的支持
- 发行说明
内容安全策略(CSP)支持
Adobe Experience Platform Launch已更名为Adobe Experience Platform中的一套数据收集技术。 因此,产品文档中的术语有一些改动。有关术语更改的综合参考,请参阅以下文档。
内容安全策略 (CSP) 是一项安全功能,有助于防止跨站点脚本攻击 (XSS)。当浏览器受到欺骗,运行似乎来自可靠来源但实际上来自其他来源的恶意内容时,就会发生这种情况。 CSP 允许浏览器(代表用户)验证脚本是否实际来自可信来源。
CSP 通过以下两种方式来实施:将 Content-Security-Policy HTTP 标头添加到服务器响应,或者在 HTML 文件的 <head> 部分中添加已配置的 <meta> 元素。
有关 CSP 的更多详细信息,请参阅 MDN Web 文档。
Adobe Experience Platform中的标记是一个标记管理系统,旨在动态地在您的网站上加载脚本。 由于潜在的安全问题,默认的 CSP 会阻止这些动态加载的脚本。本文档提供了有关如何配置CSP以允许从标记动态加载脚本的指南。
如果您希望标记与CSP配合使用,则需要克服两个主要挑战:
- 标记库的来源必须可信。 如果不满足这项条件,则浏览器将阻止标记库和其他必需的JavaScript文件,并且不会在页面上加载。
- 必须允许使用内联脚本。如果不满足这项条件,则页面将阻止“自定义代码”规则操作,并且无法正常执行。
提高安全性需要增加内容创建者的工作量。 如果您希望使用标记并实施CSP,则必须解决这两个问题,而又不能将其他脚本错误地标记为安全。 本文档的其余部分提供了有关如何实现此目标的指南。
将标记添加为可信来源
使用 CSP 时,必须在 Content-Security-Policy 标头值中包含任何可信域。您必须为标记提供的值因您使用的托管类型而异。
自托管
如果您自托管库,则内部版本的来源可能是您自己的域。您可以使用以下配置将主机域指定为安全来源:
HTTP 标头
Content-Security-Policy: script-src 'self'
HTML <meta> 标记
<meta http-equiv="Content-Security-Policy" content="script-src 'self'">
Adobe 管理的主机
如果您使用的是 Adobe 管理的主机,则在 assets.adobedtm.com 上维护您的内部版本。您应指定 self 作为安全域,以便您不会破坏已经加载的脚本,但您还需要 assets.adobedtm.com 标记为安全,否则您的标记库将不会加载到页面上。 在这种情况下,您应该使用以下配置:
HTTP 标头
Content-Security-Policy: script-src 'self' assets.adobedtm.com
HTML <meta> 标记
有一个非常重要的先决条件:必须加载标记库 非同步. 同步加载标记库行不通(这会导致控制台错误和规则无法正确执行)。
<meta http-equiv="Content-Security-Policy" content="script-src 'self' assets.adobedtm.com">
您应该将 self 指定为安全域,以便已经加载的脚本可继续正常运行,但您还需要将 assets.adobedtm.com 列为安全,否则您的库内部版本将不会加载到页面上。
内联脚本
默认情况下,CSP 不允许使用内联脚本,因此必须手动配置以允许使用这些脚本。要允许使用内联脚本,您有两种选项:
- 允许特定场合使用(安全性良好)
- 允许使用所有内联脚本(最不安全)
CSP规范包含第三个选项“使用哈希”的详细信息,但是这种方法在搭配使用标记管理系统时不可行。 有关对Platform中的标记使用哈希的限制的更多信息,请参阅 子资源完整性(SRI)指南.
允许特定场合使用
此方法包括生成加密 nonce 并将其添加到 CSP 和网站上的每个内联脚本中。浏览器在收到加载带有 nonce 的内联脚本的指令时,会将 nonce 值与 CSP 标头内包含的值进行比较。如果二者匹配,则会加载脚本。在每次加载新页面时,这个 nonce 值会发生更改。
要使用此方法,必须异步加载内部版本。同步加载内部版本时,这种方法不起作用,而且会导致控制台错误和规则无法正确执行。有关更多信息,请参阅异步部署指南。
以下示例显示如何将 nonce 添加到 Adobe 管理的主机的 CSP 配置中。如果您使用自托管,则可以排除 assets.adobedtm.com。
HTTP 标头
Content-Security-Policy: script-src 'self' assets.adobedtm.com 'nonce-2726c7f26c'
HTML <meta> 标记
<meta http-equiv="Content-Security-Policy" content="script-src 'self' assets.adobedtm.com 'nonce-2726c7f26c'">
配置标题或HTML标记后,在加载内联脚本时,必须告诉标记在何处查找nonce。 对于要在加载脚本时使用nonce的标记,您必须:
- 创建一个数据元素,使其引用 nonce 在数据层中的位置。
- 配置核心扩展,并指定要使用的数据元素。
- 发布数据元素和核心扩展更改。
上述过程只处理自定义代码的加载,而不处理自定义代码的用途。如果内联脚本包含与 CSP 不兼容的自定义代码,则优先使用 CSP。例如,如果您使用自定义代码,通过将代码附加到DOM来加载内联脚本,则标记无法正确添加nonce,进而导致特定的自定义代码操作无法按预期执行。
允许使用所有内联脚本
如果使用 nonce 这个选项不适合您,您可以将 CSP 配置为允许使用所有内联脚本。这是最不安全的选项,但它却相对更加易于实施和维护。
以下示例显示如何在 CSP 标头中允许使用所有内联脚本。
自托管
如果您使用自托管,请使用以下配置:
HTTP 标头
Content-Security-Policy: script-src 'self' 'unsafe-inline'
HTML <meta> 标记
<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-inline'">
Adobe 管理的主机
如果您使用 Adobe 管理的主机,请使用以下配置:
HTTP 标头
Content-Security-Policy: script-src 'self' assets.adobedtm.com 'unsafe-inline'
HTML <meta> 标记
<meta http-equiv="Content-Security-Policy" content="script-src 'self' assets.adobedtm.com 'unsafe-inline'">
后续步骤
通过阅读本文档,您现在应该了解如何将CSP标头配置为接受标记库文件并允许使用内联脚本。
作为一项额外的安全措施,您还可以选择使用子资源完整性 (SRI) 来验证已获取的库内部版本。但是,当与标记等标记管理系统一起使用时,此功能存在一些主要限制。 请参阅指南,网址为 平台中的SRI兼容性 了解更多信息。
Business.Adobe.com 资源
