Stratégies de sécurité du contenu et service Experience Cloud Identity

Une stratégie de sécurité de contenu (CSP) est une fonction d’en-tête et de sécurité HTTP qui permet aux navigateurs de contrôler le type de ressources chargées sur une page Web. Consultez cette section si vous utilisez le service d’ID et si vous disposez de CSP strictes qui utilisent des listes blanches pour accepter des ressources provenant de domaines approuvés. Vous devrez ajouter les domaines Adobe répertoriés ici à vos listes blanches CSP.

Présentation des stratégies de sécurité du contenu

Les stratégies de sécurité du contenu utilisent l’en-tête HTTP Content-Security-Policy pour contrôler le type de ressources qu’un navigateur accepte ou charge sur une page. L’application d’un fichier CSP peut vous aider à empêcher :

  • Les fichiers JavaScript de se charger si la source est inconnue ou n’est pas incluse dans une liste blanche.
  • Les attaques de type Cross-site scripting (XXS).
  • Les attaques d’injection de données.
  • Les attaques de défacement de site.
  • La distribution de programmes malveillants.

L’utilisation des CSP est courante et bien comprise. La présente documentation n’a pas pour but d’expliquer en détail les CSP (voir les liens d’information connexes ci-dessous pour plus d’informations). Il est important de comprendre les noms de domaine Adobe que vous devez ajouter à un fichier CSP si vous les utilisez et si vous disposez de stratégies de sécurité rigoureuses. L’ajout de ces domaines permet aux navigateurs visiteurs qui accèdent à votre site d’effectuer ces appels importants vers les ressources Experience Cloud que vous utilisez.

Domaines Experience Cloud en liste blanche

Ajoutez ces noms de domaine ou URL à votre fournisseur de services de messagerie instantanée pour chaque solution ou service Experience Cloud de liste que vous utilisez.

Solution ou service Experience Cloud Description

AppMeasurement

Modifiez votre CSP afin d’inclure les domaines ci-dessous :

  • *.2o7.net
  • *.omtrdc.net

Target

Modifiez votre stratégie de sécurité du contenu afin d’inclure *.tt.omtrdc.net.

Service Experience Cloud ID et Audience Manager

Modifiez votre stratégie de sécurité du contenu afin d’inclure les domaines ci-dessous :

  • connect-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • img-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • script-src 'self' https://*.demdex.net https://cm.everesttech.net https://assets.adobedtm.com;
  • frame-src 'self' https://*.demdex.net;
  • Si vous utilisez Adobe Launch pour déployer des balises, vous devez également ajouter https://assets.adobedtm.com à la liste des domaines.

Les appels au domaine demdex.net sont utilisés pour générer les cookies et le service Experience Cloud Identity, ainsi que pour les synchronisations des identifiants. Voir également Signification des appels vers le domaine Demdex.

Module externe Activity Map

Modifiez votre stratégie de sécurité du contenu afin d’inclure *.adobe.com. **Remarque** : si Activity Map était déjà installé avant janvier 2020, votre navigateur verra toujours une requête initiale vers *.omniture.com, mais il sera redirigé vers *.adobe.com.

Advertising Analytics

Si vous pouvez modifier les paramètres de chaîne de requête, veillez à mettre en liste blanche les paramètres « s_kwcid » et « ef_id ». Normalement, Advertising Analytics utilise uniquement « s_kwcid », mais si vous sélectionnez Ad Cloud Search ou DSP, « ef_id » est également utilisé. Ces paramètres de chaîne de requête sont alphanumériques. Le paramètre « s_kwcid » le caractère « ! » et le paramètre « ef_id » utilise le caractère « : ». Si le caractère « ! » est bloqué dans l’URL, vous devez également le mettre en liste blanche.

Sur cette page