Inhaltssicherheitsrichtlinien und der Experience Cloud Identity-Dienst

Eine Inhaltssicherheitsrichtlinie (Content Security Policy, CSP) ist eine HTTP-Header- und Sicherheitsfunktion, mit der Browser steuern können, welche Ressourcen auf einer Webseite geladen werden. Lesen Sie diesen Abschnitt, wenn Sie den ID-Dienst verwenden und über strenge CSPs verfügen, die Whitelists verwenden, um Ressourcen aus vertrauenswürdigen Domänen zu akzeptieren. Sie müssen die hier aufgeführten Adobe-Domänen zu Ihren CSP-Whitelists hinzufügen.

CSP-Übersicht

CSPs verwenden den HTTP-Header Content-Security-Policy, um die Art der Ressourcen zu steuern, die ein Browser zulässt oder die auf einer Seite geladen werden. Durch die Anwendung eines CSP können Sie Folgendes verhindern:

  • Das Laden von JavaScript-Dateien, wenn die Quelle unbekannt oder nicht in einer Whitelist enthalten ist.
  • Cross-Site-Scripting-(XXS-) Angriffe.
  • Angriffe durch Dateninjektion.
  • Angriffe durch Site-Verunstaltung.
  • Malware-Verteilung.

Die Verwendung von CSPs ist üblich und gut verstanden. Es ist nicht der Zweck dieser Dokumentation, CSPs im Detail zu erläutern (weitere Informationen finden Sie unter den entsprechenden Links weiter unten). Wichtig ist, dass Sie wissen, welche Adobe-Domänennamen Sie zu einem CSP hinzufügen sollten, wenn Sie diese verwenden und strenge Sicherheitsrichtlinien haben. Durch das Hinzufügen dieser Domänen können Besucher-Browser, die auf Ihre Website zugreifen, die von Ihnen verwendeten Experience Cloud-Ressourcen aufrufen.

Experience Cloud-Domänen für Whitelists

Fügen Sie diese Domainnamen oder URLs für die von Ihnen verwendeten aufgelisteten Experience Cloud-Lösungen und -Dienste zu Ihrem CSP hinzu.

Experience Cloud-Lösung oder -Dienst Beschreibung

AppMeasurement

Nehmen Sie Folgendes in Ihre CSP auf:

  • *.2o7.net
  • *.omtrdc.net

Target

Nehmen Sie *.tt.omtrdc.net in Ihre CSP auf.

Experience Cloud ID-Dienst und Audience Manager

Nehmen Sie die folgenden Domänen in Ihre CSP auf.

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Wenn Sie Tags mit Adobe Launch bereitstellen, müssen Sie der Liste der Domänen auch https://assets.adobedtm.com hinzufügen.

Aufrufe der Domain demdex.net werden zur Generierung der Cookies und des Experience Cloud Identity-Diensts sowie zur ID-Synchronisation verwendet. Siehe auch Aufrufe an die Domäne „demdex.net“.

Activity Map-Plugin

Nehmen Sie *.adobe.com in Ihre CSP auf. **Hinweis**: Wenn Activity Map bereits vor Januar 2020 installiert wurde, wird im Browser weiterhin zuerst eine Anfrage an *.omniture.com angezeigt, die jedoch an *.adobe.com weitergeleitet wird.

Advertising Analytics

Wenn Sie über Steuerelemente für Abfragezeichenfolge-Parameter verfügen, nehmen Sie die Parameter „s_kwcid“ und „ef_id“ in die Whilist auf. Technisch gesehen verwendet Advertising Analytics nur „s_kwcid“, wenn Sie aber Ad Cloud Search oder DSP abrufen, wird auch „ef_id“ verwendet. Diese Abfragezeichenfolge-Parameter sind alphanumerisch. Der Parameter „s_kwcid“ verwendet das Zeichen „!“ und der Parameter „ef_id“ verwendet das Zeichen „:“. Wenn das Zeichen „!“ in der URL gesperrt ist, müssen Sie auch dieses in die Whitelist aufnehmen.

Auf dieser Seite